LogStare Collector に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月21日、LogStare Collectorにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
LogStare Collector（Windows版）2.4.1およびそれ以前
LogStare Collector（Linux版）2.4.1およびそれ以前

・CVE-2025-64695
LogStare Collector（Windows版）2.4.1およびそれ以前のインストーラ

　株式会社LogStareが提供するLogStare Collectorには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・インストールディレクトリのファイルアクセス権設定が不適切（CVE-2025-58097）
→管理者権限を持たない一般ユーザによって、当該製品のインストールディレクトリ内のファイルを操作され、管理者権限で任意のコードを実行される

・ユーザ管理機能における格納型クロスサイトスクリプティング（CVE-2025-61949）
→細工されたユーザ情報が入力されている場合、当該製品の管理画面にログインしたユーザのウェブブラウザ上で任意のスクリプトを実行される

・ユーザアカウント作成におけるアクセス制限不備（CVE-2025-62189）
→管理者権限を持たない一般ユーザが、細工されたHTTPリクエストにより新規ユーザアカウントを作成する

・クロスサイトリクエストフォージェリ（CVE-2025-62687）
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる

・送信データへの機微な情報の挿入（CVE-2025-64299）
→管理者権限を持つユーザによって、他のユーザのパスワードハッシュを取得される

・インストーラにおけるファイル検索パスの制御不備（CVE-2025-64695）
→インストーラを実行している権限で、任意のコードを実行される
※細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受ける

　JVNでは対策について、それぞれ下記の通り案内している。

・CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
→開発者が提供する情報をもとに、最新バージョンにアップデートする。
※本脆弱性は、下記のバージョンで修正されている。

LogStare Collector（Windows版）2.4.2
LogStare Collector（Linux版）2.4.2

・CVE-2025-64695
→開発者は本脆弱性を修正したインストーラを提供しており、製品をインストールする際は最新版のインストーラを使用する。

元の記事を読む