製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

sandboxie-plusのSandboxieにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性

タイトル	sandboxie-plusのSandboxieにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
概要	Sandboxie-PlusはWindows向けのオープンソースのサンドボックスベース隔離ソフトウェアです。バージョン1.17.2以前には、アドオンのインストール中にチェック時から使用時までの競合状態（TOCTOU）が存在していました。ユーザーがSandManインターフェースを通じてアドオンをインストールすると、SbieSvcがSYSTEM権限でUpdUtil.exeを起動し、ユーザーが書き込み可能な%TEMP%\sandboxie-updaterディレクトリにファイルを配置します。UpdUtilは署名済みアドオンマニフェストに対してファイルハッシュを検証した後、install.batがfiles.cabを展開し、その中のconfig.exeを実行します。ハッシュ検証と展開の間に、権限のないユーザーが悪意のある実行ファイルを含む細工されたcabinetファイルにfiles.cabを置き換えることができ、その実行ファイルがSYSTEM権限で実行されます。UACプロンプトは不要です。この問題はバージョン1.17.3で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月5日0:00
登録日	2026年5月11日10:58
最終更新日	2026年5月11日10:58

CVSS3.0 : 重要
スコア	7
ベクター	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

sandboxie-plus

Sandboxie 1.17.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34596	https://www.cve.org/CVERecord?id=CVE-2026-34596
National Vulnerability Database (NVD)
2	CVE-2026-34596	https://nvd.nist.gov/vuln/detail/CVE-2026-34596

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-367	https://cwe.mitre.org/data/definitions/367.html

ベンダー情報

No	名前	URL
GitHub
1	Local Privilege Escalation via TOCTOU in UpdUtil Addon Installation Advisory sandboxie-plus/Sandboxie GitHub	https://github.com/sandboxie-plus/Sandboxie/security/advisories/GHSA-xjvp-63f2-v585

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日10:58

NVD脆弱性情報

CVE-2026-34596

概要	Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, a Time-of-Check-to-Time-of-Use (TOCTOU) race condition exists during addon installation. When a user installs an addon through the SandMan interface, UpdUtil.exe is spawned as SYSTEM by SbieSvc but stages files in the user-writable %TEMP%\sandboxie-updater directory. After UpdUtil verifies file hashes against the signed addon manifest, install.bat extracts files.cab and executes config.exe from its contents. Between hash verification and extraction, an unprivileged user can replace files.cab with a crafted cabinet containing a malicious executable, which is then run as SYSTEM. No UAC prompt is required. This issue has been fixed in version 1.17.3.
公表日	2026年5月6日5:16
登録日	2026年5月7日4:07
最終更新日	2026年5月8日4:45

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:sandboxie-plus:sandboxie:::::plus:::*					1.17.3

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/sandboxie-plus/Sandboxie/security/advisories/GHSA-xjvp-63f2-v585	security-advisories@github.com
2	https://github.com/sandboxie-plus/Sandboxie/security/advisories/GHSA-xjvp-63f2-v585	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-367	Time-of-check Time-of-use (TOCTOU) 競合状態	https://cwe.mitre.org/data/definitions/367.html