【活用ガイド】

JVNDB-2025-010118

Lakeside Software 製 SysTrack におけるファイル検索パスの制御不備の脆弱性

概要

Lakeside Software が提供する SysTrack には、ファイル検索パスの制御不備の脆弱性が存在します。

SysTrack は、複数のダイナミックリンクライブラリ (DLL) をロードする実行ファイル「LsiAgent.exe」を NT AUTHORITY\SYSTEM 権限で内部的に実行します。しかし、このプログラムは DLL ファイルをロードするファイルや場所を適切に確認しないため、SYSTEM PATH 環境変数にユーザーが書き込み可能なディレクトリが指定されている場合、ローカルユーザーが同名の悪意のある DLL をこのディレクトリに配置することで、その DLL が SYSTEM 権限で実行される可能性があります。この脆弱性に対して (CVE-2025-6241) がアサインされています。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Lakeside Software, LLC.
  • SysTrack Agent (LsiAgent.exe) バージョン 10.10.0.42 より前のバージョン

想定される影響

認証されたユーザーによって権限昇格され、任意のコードを実行される可能性があります。
対策

[Hotfix を適用する]
開発者が提供する情報をもとに、Hotfix を適用してください。


ベンダ情報

Lakeside Software, LLC.
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-6241
参考情報

  1. JVN : JVNVU#90163061
  2. US-CERT Vulnerability Note : VU#335798
更新履歴

  • [2025年07月29日]
      掲載

公表日2025/07/28
登録日2025/07/29
最終更新日2025/07/29