NVD Vulnerability Detail

CVE-2020-5569

Summary	An unquoted search path vulnerability exists in HDD Password tool (for Windows) version 1.20.6620 and earlier which is stored in CANVIO PREMIUM 3TB(HD-MB30TY, HD-MA30TY, HD-MB30TS, HD-MA30TS), CANVIO PREMIUM 2TB(HD-MB20TY, HD-MA20TY, HD-MB20TS, HD-MA20TS), CANVIO PREMIUM 1TB(HD-MB10TY, HD-MA10TY, HD-MB10TS, HD-MA10TS), CANVIO SLIM 1TB(HD-SB10TK, HD-SB10TS), and CANVIO SLIM 500GB(HD-SB50GK, HD-SA50GK, HD-SB50GS, HD-SA50GS), and which was downloaded before 2020 May 10. Since it registers Windows services with unquoted file paths, when a registered path contains spaces, and a malicious executable is placed on a certain path, it may be executed with the privilege of the Windows service.
Publication Date	April 20, 2020, 5:15 p.m.
Registration Date	Jan. 26, 2021, 11:59 a.m.
Last Update	Nov. 21, 2024, 2:34 p.m.

CVSS3.1 : HIGH
スコア	8.4
Vector	CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
Score	4.6
Vector	AV:L/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:toshiba:password_tool_for_windows::::::::			1.20.6620
execution environment
1	cpe:2.3:h:toshiba:hd-ma10ts:-:::::::*
2	cpe:2.3:h:toshiba:hd-ma10ty:-:::::::*
3	cpe:2.3:h:toshiba:hd-ma20ts:-:::::::*
4	cpe:2.3:h:toshiba:hd-ma20ty:-:::::::*
5	cpe:2.3:h:toshiba:hd-ma30ts:-:::::::*
6	cpe:2.3:h:toshiba:hd-ma30ty:-:::::::*
7	cpe:2.3:h:toshiba:hd-mb10ts:-:::::::*
8	cpe:2.3:h:toshiba:hd-mb10ty:-:::::::*
9	cpe:2.3:h:toshiba:hd-mb20ts:-:::::::*
10	cpe:2.3:h:toshiba:hd-mb20ty:-:::::::*
11	cpe:2.3:h:toshiba:hd-mb30ts:-:::::::*
12	cpe:2.3:h:toshiba:hd-mb30ty:-:::::::*
13	cpe:2.3:h:toshiba:hd-sa50gk:-:::::::*
14	cpe:2.3:h:toshiba:hd-sa50gs:-:::::::*
15	cpe:2.3:h:toshiba:hd-sb10tk:-:::::::*
16	cpe:2.3:h:toshiba:hd-sb10ts:-:::::::*
17	cpe:2.3:h:toshiba:hd-sb50gk:-:::::::*
18	cpe:2.3:h:toshiba:hd-sb50gs:-:::::::*

Related information, measures and tools

No	URL	タグ
1	https://jvn.jp/en/jp/JVN13467854/index.html	Third Party Advisory
2	https://jvn.jp/en/jp/JVN13467854/index.html	Third Party Advisory
3	https://www.canvio.jp/news/20200420.htm	Vendor Advisory
4	https://www.canvio.jp/news/20200420.htm	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-428	引用されない検索パスまたは要素	https://cwe.mitre.org/data/definitions/428.html

JVN Vulnerability Information

東芝デバイス＆ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

Title	東芝デバイス＆ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
Summary	東芝デバイス＆ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません(CWE-428)。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	Windows サービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。
Solution	開発者は、2020年4月28日に本脆弱性を修正した対策版をリリースしています。 [パスワードツールをアンインストールする、あるいはアップデートする] 開発者が提供する情報をもとに Windows 用パスワードツールをアンインストールする、あるいは継続使用する場合は最新版にアップデートしてください。アンインストールやアップデートにより、不適切な Windows サービスの登録は削除あるいは修正されます。アンインストール方法: ・パスワードを設定している場合は、アンインストール前に必ずパスワードを削除する。・パソコンから Windows用パスワードツールのバージョン 1.20.6620 およびそれ以前をアンインストールする。・対象製品およびパソコンから当該ソフトウェアのインストーラも全て削除する。アップデート方法：・開発者が提供する情報をもとに最新版にアップデートしてください。詳しくは、開発者が提供する情報をご確認ください。
Publication Date	April 20, 2020, midnight
Registration Date	April 20, 2020, 3:06 p.m.
Last Update	April 28, 2020, 4:04 p.m.

Affected System

東芝デバイス＆ストレージ株式会社

CANVIO PREMIUM 1TB HD-MA10TS

CANVIO PREMIUM 1TB HD-MA10TY

CANVIO PREMIUM 1TB HD-MB10TS

CANVIO PREMIUM 1TB HD-MB10TY

CANVIO PREMIUM 2TB HD-MA20TS

CANVIO PREMIUM 2TB HD-MA20TY

CANVIO PREMIUM 2TB HD-MB20TS

CANVIO PREMIUM 2TB HD-MB20TY

CANVIO PREMIUM 3TB HD-MA30TS

CANVIO PREMIUM 3TB HD-MA30TY

CANVIO PREMIUM 3TB HD-MB30TS

CANVIO PREMIUM 3TB HD-MB30TY

CANVIO SLIM 1TB HD-SB10TK

CANVIO SLIM 1TB HD-SB10TS

CANVIO SLIM 500GB HD-SA50GK

CANVIO SLIM 500GB HD-SA50GS

CANVIO SLIM 500GB HD-SB50GK

CANVIO SLIM 500GB HD-SB50GS

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5569	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5569

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
東芝デバイス＆ストレージ株式会社
1	重要なお知らせ	https://www.canvio.jp/news/20200420.htm

その他

No	Name	URL
JVN
1	JVN#13467854	https://jvn.jp/jp/JVN13467854/index.html

Change Log

No	Changed Details	Date of change
1	[2020年04月20日] 掲載	April 17, 2020, 11:05 a.m.
2	[2020年04月28日] 【対策方法】を更新しました。	April 28, 2020, 3:51 p.m.

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:toshiba:password_tool_for_windows::::::::			1.20.6620
execution environment
1	cpe:2.3:h:toshiba:hd-ma10ts:-:::::::*
2	cpe:2.3:h:toshiba:hd-ma10ty:-:::::::*
3	cpe:2.3:h:toshiba:hd-ma20ts:-:::::::*
4	cpe:2.3:h:toshiba:hd-ma20ty:-:::::::*
5	cpe:2.3:h:toshiba:hd-ma30ts:-:::::::*
6	cpe:2.3:h:toshiba:hd-ma30ty:-:::::::*
7	cpe:2.3:h:toshiba:hd-mb10ts:-:::::::*
8	cpe:2.3:h:toshiba:hd-mb10ty:-:::::::*
9	cpe:2.3:h:toshiba:hd-mb20ts:-:::::::*
10	cpe:2.3:h:toshiba:hd-mb20ty:-:::::::*
11	cpe:2.3:h:toshiba:hd-mb30ts:-:::::::*
12	cpe:2.3:h:toshiba:hd-mb30ty:-:::::::*
13	cpe:2.3:h:toshiba:hd-sa50gk:-:::::::*
14	cpe:2.3:h:toshiba:hd-sa50gs:-:::::::*
15	cpe:2.3:h:toshiba:hd-sb10tk:-:::::::*
16	cpe:2.3:h:toshiba:hd-sb10ts:-:::::::*
17	cpe:2.3:h:toshiba:hd-sb50gk:-:::::::*
18	cpe:2.3:h:toshiba:hd-sb50gs:-:::::::*