製品・ソフトウェアに関する情報

JVN脆弱性詳細

HCL Technologies LimitedのHCL BigFix Service Management (SM)における送信データへの重要な情報の挿入に関する脆弱性

タイトル	HCL Technologies LimitedのHCL BigFix Service Management (SM)における送信データへの重要な情報の挿入に関する脆弱性
概要	HCL BigFix Service Management（SM）は、スプレッドシートファイル（CSV、XLS、XLSX）を処理または配布する前に、適切にサニタイズや安全なレンダリングを行いません。そのため、攻撃者はデータフィールドを悪用してCSVファイルに保存された際に、スプレッドシートソフトウェアによって自動実行されることで情報の漏洩やその他の悪意のある活動を試みる可能性があります。なお、現在のExcelのバージョンでは、信頼されていないコンテンツに対してユーザーに警告を表示します。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月6日0:00
登録日	2026年6月30日11:24
最終更新日	2026年6月30日11:24

影響を受けるシステム

HCL Technologies Limited

HCL BigFix Service Management (SM) 23.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-31978	https://www.cve.org/CVERecord?id=CVE-2025-31978
National Vulnerability Database (NVD)
2	CVE-2025-31978	https://nvd.nist.gov/vuln/detail/CVE-2025-31978

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-201	https://cwe.mitre.org/data/definitions/201.html

ベンダー情報

No	名前	URL
Security Bulletin
1	Security Bulletin: Multiple security vulnerabilities affect HCL BigFix Service Management (SM)	https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0128144

変更履歴

No	変更内容	変更日
1	[2026年06月30日] 掲載	2026年6月30日11:24

NVD脆弱性情報

CVE-2025-31978

概要	HCL BigFix Service Management (SM) does not adequately sanitize or safely render spreadsheet files (CSV, XLS, XLSX) before processing or distributing them. An attacker could populate data fields which, when saved to a CSV file, may attempt information exfiltration or other malicious activity when automatically executed by the spreadsheet software. Note that current versions of Excel warn users of untrusted content.
公表日	2026年5月7日0:16
登録日	2026年5月7日4:09
最終更新日	2026年5月8日1:26

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:hcltech:bigfix_service_management:23.0:::::::*