GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.05(日)

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
ghostscript.com
ghostscript.com 全 1 枚 拡大写真
◆概要
 2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用するファイルを脆弱な GhostScript で変換処理した場合は、ファイルに埋め込まれた悪意のある命令が実行されてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 GhostScript は ImageMagick などの画像処理ソフトウェアに組み込まれているため、画像処理ソフトを用いたアプリケーションを Web サーバなどに公開している場合は当該脆弱性の影響を受ける可能性があります。画像アップロード機能を持つ Web アプリケーションなどに GhostScript を用いた画像処理ソフトが使用されている場合は、攻撃者が脆弱性を悪用するために作成した画像ファイルをアップロードされ、サーバに侵入されてしまいます。ソフトウェアアップデート情報を確認し、アップデートを適用することにより、脆弱性に対策してください。

◆深刻度(CVSS)
[CVSS v3.1]
本記事執筆時点で CVSS 値の情報の公開を確認していません。

◆影響を受けるソフトウェア
 以下のバージョンの GHostScript が当該脆弱性の影響を受けると報告されています。

    - Ghostscript/GhostPDL 9.54.0
    - Ghostscript/GhostPDL 9.53.3
    - Ghostscript/GhostPDL 9.52
    - Ghostscript/GhostPDL 9.50

ImageMagick をはじめとする GhostScript に依存する製品の影響範囲に関しては、各ソフトウェアや OS ディストリビューションの情報を参考にしてください。

◆解説
 画像処理ソフトである GhostScript に、悪意のあるファイルの変換により任意のコマンドが実行可能となる脆弱映画報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. ケーブルテレビ伝送網を利用して緊急警報や地域情報を各家庭に伝えることができるシステムを展示(ホーチキ)

    ケーブルテレビ伝送網を利用して緊急警報や地域情報を各家庭に伝えることができるシステムを展示(ホーチキ)

  5. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

ランキングをもっと見る
PageTop