JVNDB-2026-011870

BeeWareのBriefcaseにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性

BriefcaseはPythonプロジェクトをスタンドアロンのネイティブアプリケーションに変換するツールです。バージョン0.3.0から0.3.26未満の間に、開発者がBriefcaseを使用してWindows用のMSIインストーラーを作成し、そのプロジェクトを全ユーザー（つまりマシンスコープ）向けにインストールした場合、インストールプロセスは親ディレクトリのすべての権限を継承するディレクトリを作成します。インストールユーザーが選択した場所によっては、このディレクトリは低権限ながら認証済みのユーザーがアプリケーションによってインストールされたバイナリを置き換えたり変更したりできる可能性があります。その後、管理者が変更されたバイナリを実行すると、そのバイナリは特権昇格された状態で実行されます。この問題はWindowsプロジェクト用のWXSファイルを生成するテンプレートが原因で発生しました。Briefcase 0.3.26、0.4.0、0.4.1で使用されているテンプレートで修正されています。Briefcaseプロジェクトで`briefcase create`を再実行すると、更新されたテンプレートが使用されます。回避策として、このパッチはBriefcase 0.3.24以降で生成された任意の既存のBriefcase .wxsファイルに追加できます。

BeeWare

• Briefcase 0.3.0 以上 0.3.26 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Potential privilege escalation through MSI installers  Advisory  beeware/briefcase  GitHub

1. 重要なリソースに対する不適切なパーミッションの割り当て(CWE-732) [その他]

1. CVE-2026-33430

1. National Vulnerability Database (NVD) : CVE-2026-33430
2. 関連文書 : Ensure that MSIs installed for all users don't inherit permissions. by freakboy3742  Pull Request #86  beeware/briefcase-windows-app-template  GitHub
3. 関連文書 : Privilege escalation with MSI installers  Issue #2759  beeware/briefcase
4. 関連文書 : Ensure that MSIs installed for all users don't inherit permissions. by freakboy3742  Pull Request #85  beeware/briefcase-windows-VisualStudio-template  GitHub

• [2026年04月21日]
    掲載