クオリティソフトのクライアントPC管理ツール「QND Advance/Standard」の管理サーバソフトウェアに、ディレクトリトラバーサルの脆弱性が存在する。情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が11月27日、情報を公開した。
脆弱性は、QND Advance/Standardの管理サーバのエージェントプログラムからの入力処理に起因するもので、全てのバージョンに存在する。管理サーバはエージェントプログラムと通信する際に認証しないため、管理サーバにアクセス可能な任意のデバイスから管理サーバに細工したコマンドを送り付けることで、脆弱性を悪用できてしまう。これにより、管理サーバ上の任意のファイルが第三者によって改ざんされたり、窃取されたりする恐れがある。
脆弱性の深刻度(最大値10.0)は、共通脆弱性評価システム(CVSS)を用いたJPCERT/CCによる評価で、CVSS v2では「9.4」、同v3では「9.1」と算出され、極めて高い。
クオリティソフトは脆弱性を修正する「QND Ver.10.3i SP3 脆弱性対策版更新プログラム(90470500)」を製品利用者専用ポータルで公開し、ユーザーに適用を呼び掛けている。