独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月21日、LogStare Collectorにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
LogStare Collector(Windows版)2.4.1およびそれ以前
LogStare Collector(Linux版)2.4.1およびそれ以前
・CVE-2025-64695
LogStare Collector(Windows版)2.4.1およびそれ以前のインストーラ
株式会社LogStareが提供するLogStare Collectorには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・インストールディレクトリのファイルアクセス権設定が不適切(CVE-2025-58097)
→管理者権限を持たない一般ユーザによって、当該製品のインストールディレクトリ内のファイルを操作され、管理者権限で任意のコードを実行される
・ユーザ管理機能における格納型クロスサイトスクリプティング(CVE-2025-61949)
→細工されたユーザ情報が入力されている場合、当該製品の管理画面にログインしたユーザのウェブブラウザ上で任意のスクリプトを実行される
・ユーザアカウント作成におけるアクセス制限不備(CVE-2025-62189)
→管理者権限を持たない一般ユーザが、細工されたHTTPリクエストにより新規ユーザアカウントを作成する
・クロスサイトリクエストフォージェリ(CVE-2025-62687)
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる
・送信データへの機微な情報の挿入(CVE-2025-64299)
→管理者権限を持つユーザによって、他のユーザのパスワードハッシュを取得される
・インストーラにおけるファイル検索パスの制御不備(CVE-2025-64695)
→インストーラを実行している権限で、任意のコードを実行される
※細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受ける
JVNでは対策について、それぞれ下記の通り案内している。
・CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
→開発者が提供する情報をもとに、最新バージョンにアップデートする。
※本脆弱性は、下記のバージョンで修正されている。
LogStare Collector(Windows版)2.4.2
LogStare Collector(Linux版)2.4.2
・CVE-2025-64695
→開発者は本脆弱性を修正したインストーラを提供しており、製品をインストールする際は最新版のインストーラを使用する。
