NVD脆弱性詳細
Exploit、PoC検索
CVE-2020-5569
概要

An unquoted search path vulnerability exists in HDD Password tool (for Windows) version 1.20.6620 and earlier which is stored in CANVIO PREMIUM 3TB(HD-MB30TY, HD-MA30TY, HD-MB30TS, HD-MA30TS), CANVIO PREMIUM 2TB(HD-MB20TY, HD-MA20TY, HD-MB20TS, HD-MA20TS), CANVIO PREMIUM 1TB(HD-MB10TY, HD-MA10TY, HD-MB10TS, HD-MA10TS), CANVIO SLIM 1TB(HD-SB10TK, HD-SB10TS), and CANVIO SLIM 500GB(HD-SB50GK, HD-SA50GK, HD-SB50GS, HD-SA50GS), and which was downloaded before 2020 May 10. Since it registers Windows services with unquoted file paths, when a registered path contains spaces, and a malicious executable is placed on a certain path, it may be executed with the privilege of the Windows service.

公表日 2020年4月20日17:15
登録日 2021年1月26日11:59
最終更新日 2024年11月21日14:34
CVSS3.1 : HIGH
スコア 8.4
ベクター CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : MEDIUM
スコア 4.6
ベクター AV:L/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:toshiba:password_tool_for_windows:*:*:*:*:*:*:*:* 1.20.6620
実行環境
1 cpe:2.3:h:toshiba:hd-ma10ts:-:*:*:*:*:*:*:*
2 cpe:2.3:h:toshiba:hd-ma10ty:-:*:*:*:*:*:*:*
3 cpe:2.3:h:toshiba:hd-ma20ts:-:*:*:*:*:*:*:*
4 cpe:2.3:h:toshiba:hd-ma20ty:-:*:*:*:*:*:*:*
5 cpe:2.3:h:toshiba:hd-ma30ts:-:*:*:*:*:*:*:*
6 cpe:2.3:h:toshiba:hd-ma30ty:-:*:*:*:*:*:*:*
7 cpe:2.3:h:toshiba:hd-mb10ts:-:*:*:*:*:*:*:*
8 cpe:2.3:h:toshiba:hd-mb10ty:-:*:*:*:*:*:*:*
9 cpe:2.3:h:toshiba:hd-mb20ts:-:*:*:*:*:*:*:*
10 cpe:2.3:h:toshiba:hd-mb20ty:-:*:*:*:*:*:*:*
11 cpe:2.3:h:toshiba:hd-mb30ts:-:*:*:*:*:*:*:*
12 cpe:2.3:h:toshiba:hd-mb30ty:-:*:*:*:*:*:*:*
13 cpe:2.3:h:toshiba:hd-sa50gk:-:*:*:*:*:*:*:*
14 cpe:2.3:h:toshiba:hd-sa50gs:-:*:*:*:*:*:*:*
15 cpe:2.3:h:toshiba:hd-sb10tk:-:*:*:*:*:*:*:*
16 cpe:2.3:h:toshiba:hd-sb10ts:-:*:*:*:*:*:*:*
17 cpe:2.3:h:toshiba:hd-sb50gk:-:*:*:*:*:*:*:*
18 cpe:2.3:h:toshiba:hd-sb50gs:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
タイトル 東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
概要

東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません(CWE-428)。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

想定される影響 Windows サービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。 
対策

開発者は、2020年4月28日に本脆弱性を修正した対策版をリリースしてい ます。 [パスワードツールをアンインストールする、あるいはアップデートする] 開発者が提供する情報をもとに Windows 用パスワードツールをアンインストールする、 あるいは継続使用する場合は最新版にアップデートしてください。 アンインストールやアップデートにより、不適切な Windows サービスの登録は削除あるいは修正されます。 アンインストール方法: ・パスワードを設定している場合は、アンインストール前に必ずパスワードを削除する。 ・パソコンから Windows用パスワードツールのバージョン 1.20.6620 およびそれ以前をアンインストールする。 ・対象製品およびパソコンから当該ソフトウェアのインストーラも全て削除する。 アップデート方法: ・開発者が提供する情報をもとに最新版にアップデートしてください。 詳しくは、開発者が提供する情報をご確認ください。
公表日 2020年4月20日0:00
登録日 2020年4月20日15:06
最終更新日 2020年4月28日16:04
影響を受けるシステム
東芝デバイス&ストレージ株式会社
CANVIO PREMIUM 1TB HD-MA10TS
CANVIO PREMIUM 1TB HD-MA10TY
CANVIO PREMIUM 1TB HD-MB10TS
CANVIO PREMIUM 1TB HD-MB10TY
CANVIO PREMIUM 2TB HD-MA20TS
CANVIO PREMIUM 2TB HD-MA20TY
CANVIO PREMIUM 2TB HD-MB20TS
CANVIO PREMIUM 2TB HD-MB20TY
CANVIO PREMIUM 3TB HD-MA30TS
CANVIO PREMIUM 3TB HD-MA30TY
CANVIO PREMIUM 3TB HD-MB30TS
CANVIO PREMIUM 3TB HD-MB30TY
CANVIO SLIM 1TB HD-SB10TK
CANVIO SLIM 1TB HD-SB10TS
CANVIO SLIM 500GB HD-SA50GK
CANVIO SLIM 500GB HD-SA50GS
CANVIO SLIM 500GB HD-SB50GK
CANVIO SLIM 500GB HD-SB50GS
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2020年04月20日]
  掲載		 2020年4月17日11:05
2 [2020年04月28日]
  【対策方法】を更新しました。		 2020年4月28日15:51