LogStare Collector に複数の脆弱性 | ScanNetSecurity
2026.07.14(火)

LogStare Collector に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月21日、LogStare Collectorにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月21日、LogStare Collectorにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
LogStare Collector(Windows版)2.4.1およびそれ以前
LogStare Collector(Linux版)2.4.1およびそれ以前

・CVE-2025-64695
LogStare Collector(Windows版)2.4.1およびそれ以前のインストーラ

 株式会社LogStareが提供するLogStare Collectorには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・インストールディレクトリのファイルアクセス権設定が不適切(CVE-2025-58097)
→管理者権限を持たない一般ユーザによって、当該製品のインストールディレクトリ内のファイルを操作され、管理者権限で任意のコードを実行される

・ユーザ管理機能における格納型クロスサイトスクリプティング(CVE-2025-61949)
→細工されたユーザ情報が入力されている場合、当該製品の管理画面にログインしたユーザのウェブブラウザ上で任意のスクリプトを実行される

・ユーザアカウント作成におけるアクセス制限不備(CVE-2025-62189)
→管理者権限を持たない一般ユーザが、細工されたHTTPリクエストにより新規ユーザアカウントを作成する

・クロスサイトリクエストフォージェリ(CVE-2025-62687)
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる

・送信データへの機微な情報の挿入(CVE-2025-64299)
→管理者権限を持つユーザによって、他のユーザのパスワードハッシュを取得される

・インストーラにおけるファイル検索パスの制御不備(CVE-2025-64695)
→インストーラを実行している権限で、任意のコードを実行される
※細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受ける

 JVNでは対策について、それぞれ下記の通り案内している。

・CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
→開発者が提供する情報をもとに、最新バージョンにアップデートする。
※本脆弱性は、下記のバージョンで修正されている。

LogStare Collector(Windows版)2.4.2
LogStare Collector(Linux版)2.4.2

・CVE-2025-64695
→開発者は本脆弱性を修正したインストーラを提供しており、製品をインストールする際は最新版のインストーラを使用する。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

ランキングをもっと見る
PageTop