HIGHCVE-2023-40496CVSS 7.5

LG Simple Editor copyStickerContent ディレクトリトラバーサルによる情報漏洩の脆弱性

プラットフォーム

windows

コンポーネント

lg-simple-editor

修正版

3.21.1

AI Confidence: highNVDEPSS 19.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2023-40496は、LG Simple EditorのcopyStickerContentコマンドにおけるディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、リモート攻撃者が認証なしで機密情報を漏洩させることが可能になります。影響を受けるバージョンは3.21.0です。2024年5月3日に公開され、最新バージョンへのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がLG Simple Editorのファイルシステムを不正に操作し、本来アクセスできない機密ファイルにアクセスすることを可能にします。具体的には、攻撃者はcopyStickerContentコマンドに巧妙に細工されたパスを送り込むことで、任意のファイルパスを読み込むことができ、システム上の機密情報（設定ファイル、ログファイル、ユーザーデータなど）を漏洩させる可能性があります。攻撃者はSYSTEM権限で情報を取得できるため、影響範囲は広範囲に及びます。この脆弱性は、類似のファイルトラバーサル攻撃と同様に、システム全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

CVE-2023-40496は、2024年5月3日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）には登録されていません。EPSSスコアはまだ評価されていません。公開されているPoCは確認されていませんが、ディレクトリトラバーサル脆弱性であるため、攻撃者による悪用が懸念されます。ZDI-CAN-19923という脆弱性レポートIDが関連付けられています。

リスク対象者翻訳中…

Organizations and individuals using LG Simple Editor, particularly those with older versions (3.21.0 and prior), are at risk. Shared hosting environments where LG Simple Editor is installed are particularly vulnerable due to the lack of authentication required for exploitation.

検出手順翻訳中…

• windows / supply-chain:

Get-Process -Name "LG Simple Editor"

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='LG Simple Editor']]]" -MaxEvents 10

• windows / supply-chain: Check Autoruns for unusual entries related to LG Simple Editor or suspicious file paths.

攻撃タイムライン

2024-05-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

19.15% (95% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlg-simple-editor

ベンダーLG

影響範囲修正版

LG Simple Editor 3.21.0 – LG Simple Editor 3.21.03.21.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2023-08-14
公開日2024-05-03
更新日2024-09-18
EPSS 更新日2026-04-02

未パッチ — 公開から751日経過

緩和策と回避策

この脆弱性への対応策として、まずLG Simple Editorを最新バージョンにアップデートすることが最も効果的です。アップデートが利用できない場合は、一時的な回避策として、LG Simple Editorがアクセスできるファイルパスを制限するファイアウォールルールやアクセス制御リストを設定することを検討してください。また、Webアプリケーションファイアウォール（WAF）を導入し、ディレクトリトラバーサル攻撃のパターンを検知・遮断するルールを設定することも有効です。Windows Defenderなどのセキュリティソフトで、不審なファイルアクセスを監視することも重要です。

修正方法翻訳中…

Actualizar a una versión parcheada del LG Simple Editor. No hay una versión específica mencionada en el CVE, por lo que se recomienda contactar al proveedor para obtener una versión corregida o dejar de utilizar el software.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2023-40496 — ディレクトリトラバーサルはLG Simple Editorで何ですか？

CVE-2023-40496は、LG Simple EditorのcopyStickerContentコマンドにおけるディレクトリトラバーサル脆弱性であり、攻撃者が機密情報を漏洩させる可能性があります。

CVE-2023-40496はLG Simple Editorで影響を受けますか？

はい、LG Simple Editorのバージョン3.21.0がこの脆弱性の影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2023-40496はLG Simple Editorでどのように修正しますか？

LG Simple Editorを最新バージョンにアップデートすることで修正できます。アップデートが利用できない場合は、ファイアウォールルールやWAFの設定で一時的な回避策を講じてください。

CVE-2023-40496は積極的に悪用されていますか？

現時点では、PoCは確認されていませんが、ディレクトリトラバーサル脆弱性であるため、攻撃者による悪用が懸念されます。

CVE-2023-40496のLG Simple Editor公式アドバイザリはどこで入手できますか？

LG Simple Editorの公式アドバイザリは、LGのセキュリティ情報ページで確認できます。