製品・ソフトウェアに関する情報

JVN脆弱性詳細

mullvadのmullvad vpnにおける複数の脆弱性

Title	mullvadのmullvad vpnにおける複数の脆弱性
Summary	Mullvad VPNはデスクトップおよびモバイル向けのVPNクライアントアプリです。macOSのバージョン2026.1以下を使用している場合、Mullvad VPNはインストールまたはアップグレード時にローカル特権昇格を許可する可能性があります。インストーラーパッケージは、バンドルが攻撃者によって制御されているかどうかや、パスが正当なMullvadアプリケーションであるかを検証せずに/Applications/Mullvad VPN.appからバイナリを実行します。管理者グループのユーザーは、その場所に細工されたアプリケーションバンドルを事前に配置でき、rootとしてコード実行を達成する可能性があります。この問題はインストーラーにのみ影響があったため、既に古いバージョンを使用しているユーザーは直ちに更新する必要はありません。この問題はバージョン2026.2-beta1で修正されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 19, 2026, midnight
Registration Date	May 25, 2026, 10:23 a.m.
Last Update	May 25, 2026, 10:23 a.m.

CVSS3.0 : 重要
Score	7.8
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

mullvad

mullvad vpn 2026.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-32323	https://www.cve.org/CVERecord?id=CVE-2026-32323
GitHub
2	CVE-2026-32323: macOS Local Privilege Escalation in Mullvad VPN installer Advisory mullvad/mullvadvpn-app GitHub	https://github.com/mullvad/mullvadvpn-app/security/advisories/GHSA-c2g6-w5fq-vw3m
National Vulnerability Database (NVD)
3	CVE-2026-32323	https://nvd.nist.gov/vuln/detail/CVE-2026-32323

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-269	https://cwe.mitre.org/data/definitions/269.html
2	CWE-345	https://cwe.mitre.org/data/definitions/345.html
3	CWE-427	https://cwe.mitre.org/data/definitions/427.html
4	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	Name	URL
関連文書
1	Fix LPE using mullvad-setup in preinstall script mullvad/mullvadvpn-app@032fdcb GitHub	https://github.com/mullvad/mullvadvpn-app/commit/032fdcb927c0b6d3e5e1aba4140d33adf22a6bfb

Change Log

No	Changed Details	Date of change
1	[2026年05月25日] 掲載	May 25, 2026, 10:23 a.m.

NVD Vulnerability Information

CVE-2026-32323

Summary	Mullvad VPN is a VPN client app for desktop and mobile. When using macOS with versions 2026.1 and below, Mullvad VPN may allow local privilege escalation during installation or upgrade. The installer package executes binaries from /Applications/Mullvad VPN.app without verifying if the bundle is attacker-controlled or that the path is the legitimate Mullvad application. A user in the admin group can pre-place a crafted application bundle at that location and may be able to achieve code execution as root. Since the issue only affected the installer, there is no immediate need for users to update if they are already running an older version. This issue has been fixed in version 2026.2-beta1.
Publication Date	May 19, 2026, 11:16 a.m.
Registration Date	May 20, 2026, 4:11 a.m.
Last Update	May 22, 2026, 9:04 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mullvad:mullvad_vpn::::::macos::*					2026.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/mullvad/mullvadvpn-app/commit/032fdcb927c0b6d3e5e1aba4140d33adf22a6bfb	security-advisories@github.com
2	https://github.com/mullvad/mullvadvpn-app/security/advisories/GHSA-c2g6-w5fq-vw3m	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-269	不適切な権限管理	https://cwe.mitre.org/data/definitions/269.html
2	CWE-345	データの信頼性についての不十分な検証	https://cwe.mitre.org/data/definitions/345.html
3	CWE-427	制御されていない検索パスの要素	https://cwe.mitre.org/data/definitions/427.html