製品・ソフトウェアに関する情報

JVN脆弱性詳細

horsicqのDetect-It-Easyにおける相対パストラバーサルの脆弱性

Title	horsicqのDetect-It-Easyにおける相対パストラバーサルの脆弱性
Summary	Detect-It-Easyのバージョン3.21以前にはパス・トラバーサルの脆弱性が存在し、攻撃者は相対パストラバーサルや絶対パスを含む悪意のあるアーカイブエントリを作成することで、ファイルシステムに任意のファイルを書き込むことが可能です。攻撃者はアーカイブの抽出時に不十分なパス正規化を悪用し、意図された抽出ディレクトリの外部にファイルを書き込み、ユーザーのスタートアップスクリプトを上書きして持続的なコード実行を実現できます。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 4, 2026, midnight
Registration Date	June 3, 2026, 5:04 p.m.
Last Update	June 3, 2026, 5:04 p.m.

Affected System

horsicq

Detect-It-Easy 3.21 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43616	https://www.cve.org/CVERecord?id=CVE-2026-43616
National Vulnerability Database (NVD)
2	CVE-2026-43616	https://nvd.nist.gov/vuln/detail/CVE-2026-43616

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-23	https://cwe.mitre.org/data/definitions/23.html

ベンダー情報

No	Name	URL
VulnCheck
1	Detect-It-Easy < 3.21 Path Traversal Arbitrary File Write \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/detect-it-easy-path-traversal-arbitrary-file-write

その他

No	Name	URL
関連文書
1	chore: update Formats - add path traversal detection in extraction horsicq/DIE-engine@cbbe168 GitHub	https://github.com/horsicq/DIE-engine/commit/cbbe1688e58ffd430d284bf65f336973f083db69
2	chore: update XArchive - improve path security and delegate methods horsicq/DIE-engine@7fd300b GitHub	https://github.com/horsicq/DIE-engine/commit/7fd300b926daf19707b2a36f0abe8b60a51308ee
3	feat: add path traversal detection in archive extraction horsicq/Formats@56cdf50 GitHub	https://github.com/horsicq/Formats/commit/56cdf50ee3c72c56284e2819b23e98332842d259
4	GitHub - horsicq/Detect-It-Easy: Program for determining types of files for Windows, Linux and MacOS. GitHub	https://github.com/horsicq/Detect-It-Easy
5	refactor: improve path security and delegate methods horsicq/XArchive@6a2aa84 GitHub	https://github.com/horsicq/XArchive/commit/6a2aa84c2fd120b704f76bb5c5ee3e9b5a7a0fcc
6	Release 3.21 horsicq/DIE-engine GitHub	https://github.com/horsicq/DIE-engine/releases/tag/3.21

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 5:04 p.m.

NVD Vulnerability Information

CVE-2026-43616

Summary	Detect-It-Easy prior to 3.21 contains a path traversal vulnerability that allows attackers to write arbitrary files to the filesystem by crafting malicious archive entries with relative traversal sequences or absolute paths. Attackers can exploit insufficient path normalization during archive extraction to write files outside the intended extraction directory and achieve persistent code execution by overwriting user startup scripts.
Publication Date	May 5, 2026, 3:16 a.m.
Registration Date	May 5, 2026, 4:07 a.m.
Last Update	May 6, 2026, 4:50 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/horsicq/DIE-engine/commit/7fd300b926daf19707b2a36f0abe8b60a51308ee	disclosure@vulncheck.com
2	https://github.com/horsicq/DIE-engine/commit/cbbe1688e58ffd430d284bf65f336973f083db69	disclosure@vulncheck.com
3	https://github.com/horsicq/DIE-engine/releases/tag/3.21	disclosure@vulncheck.com
4	https://github.com/horsicq/Detect-It-Easy	disclosure@vulncheck.com
5	https://github.com/horsicq/Formats/commit/56cdf50ee3c72c56284e2819b23e98332842d259	disclosure@vulncheck.com
6	https://github.com/horsicq/XArchive/commit/6a2aa84c2fd120b704f76bb5c5ee3e9b5a7a0fcc	disclosure@vulncheck.com
7	https://www.vulncheck.com/advisories/detect-it-easy-path-traversal-arbitrary-file-write	disclosure@vulncheck.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-23	相対的パストラバーサル	https://cwe.mitre.org/data/definitions/23.html
2	CWE-23	相対的パストラバーサル	https://cwe.mitre.org/data/definitions/23.html