| Summary | Untrusted search path vulnerability in the installers of multiple SEIKO EPSON products allows an attacker to gain privileges via a Trojan horse DLL in an unspecified directory. |
|---|---|
| Publication Date | Nov. 24, 2020, 4:15 p.m. |
| Registration Date | Jan. 26, 2021, 11:59 a.m. |
| Last Update | Nov. 21, 2024, 2:34 p.m. |
| CVSS3.1 : HIGH | |
| スコア | 7.8 |
|---|---|
| Vector | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : MEDIUM | |
| Score | 4.4 |
|---|---|
| Vector | AV:L/AC:M/Au:N/C:P/I:P/A:P |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:epson:remote_printer_driver:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:connect:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:scanner_driver:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:net_software_development_kit:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:net_print:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:net_config_se:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:net_config:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:scan_icm_updater:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:e-photo:-:*:*:*:*:picture_motion_browser:*:* | |||||
| cpe:2.3:a:epson:easy_photo_print:-:*:*:*:*:camera_raw:*:* | |||||
| cpe:2.3:a:epson:prolab_print:-:*:*:*:*:camera_raw:*:* | |||||
| cpe:2.3:a:epson:e-photo:-:*:*:*:*:camera_raw:*:* | |||||
| cpe:2.3:a:epson:imaging_workshop:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:webconfig:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:web_to_page:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:prolab_print:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:print:-:*:*:*:*:silkypix:*:* | |||||
| cpe:2.3:a:epson:print:-:*:*:*:*:playmemories_home:*:* | |||||
| cpe:2.3:a:epson:print_layout:-:*:*:*:*:photoshop:*:* | |||||
| cpe:2.3:a:epson:print_image_framer_tool:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:photostarter:3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:photoquicker:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:photolier:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:multi-print_quicker:-:*:*:*:*:windows:*:* | |||||
| cpe:2.3:a:epson:link2:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:easy_photo_print:-:*:*:*:*:-:*:* | |||||
| cpe:2.3:a:epson:creativity_suite:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:easy_settings:-:*:*:*:*:office:*:* | |||||
| cpe:2.3:a:epson:colorio_easy_print:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:album_print:-:*:*:*:*:update_program:*:* | |||||
| cpe:2.3:a:epson:pm-t990_integrated_installer:-:*:*:*:*:windows:*:* | |||||
| cpe:2.3:a:epson:colorbase:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:color_calibration_utility:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:print:-:*:*:*:*:viewnx:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:epson:universal_print_driver:-:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:x64:* | ||||
| 2 | cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:x86:* | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:epson:status_monitor_2:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:epson:status_monitor_3:-:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* | ||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:epson:ec-01_firmware:-:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:epson:ec-01:-:*:*:*:*:*:*:* | ||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:a:epson:print_image_framer_tool:-:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:o:microsoft:windows_98:-:*:*:*:*:*:*:* | ||||
| 2 | cpe:2.3:o:microsoft:windows_me:-:*:*:*:*:*:*:* | ||||
| Title | セイコーエプソン製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性 |
|---|---|
| Summary | セイコーエプソン株式会社が提供する複数製品のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 東内裕二 氏 |
| Possible impacts | インストーラを実行している権限で、任意のコードを実行される可能性があります。 |
| Solution | [最新のインストーラを使用する] 開発者が提供する情報をもとに、最新のインストーラを使用してください。 また、インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認してください。 なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストールしている場合、再インストールする必要はありません。 |
| Publication Date | Nov. 20, 2020, midnight |
| Registration Date | Nov. 20, 2020, 12:03 p.m. |
| Last Update | Nov. 20, 2020, 12:03 p.m. |
| セイコーエプソン株式会社 |
| (複数の製品) |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2020年11月20日] 掲載 |
Nov. 18, 2020, 3:09 p.m. |