JVN#57877356: LogonTracerにおける複数の脆弱性

DRANK

公開日：2026/04/23　最終更新日：2026/04/23JVN#57877356LogonTracerにおける複数の脆弱性一般社団法人JPCERTコーディネーションセンターが提供するLogonTracerには、複数の脆弱性が存在します。LogonTracer v2.0.0より前のバージョン一般社団法人JPCERTコーディネーションセンターが提供するLogonTracerは、Windowsイベントログの分析をサポートするツールです。LogonTracerには、次の複数の脆弱性が存在します。OSコマンドインジェクション（CWE-78）CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8CVE-2026-33277データベースクエリの不適切な無害化（CWE-943）CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3CVE-2026-33566想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。当該製品にログインしたユーザによって、任意のOSコマンドを実行される（CVE-2026-33277）細工されたWindowsイベントログデータをロードした場合、データベースの内容を改ざ…