無料スキャン
MEDIUMCVE-2019-25666CVSS 6.2

SpotAuditor 3.6.7 サービス拒否 バッファオーバーフロー

プラットフォーム

c

コンポーネント

spotauditor

修正版

3.6.8

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月
NVDで見る
保存

CVE-2019-25666は、SpotAuditor 3.6.7におけるローカルバッファオーバーフロー脆弱性です。この脆弱性を悪用されると、アプリケーションがクラッシュし、サービス拒否を引き起こす可能性があります。影響を受けるバージョンは3.6.7です。現時点では公式な修正パッチは公開されていません。

影響と攻撃シナリオ

CVE-2019-25666 は SpotAuditor バージョン 3.6.7 に影響を与え、Base64 パスワード デコーダコンポーネントにローカルのバッファオーバーフローの脆弱性を引き起こします。この欠陥により、ローカルの攻撃者はアプリケーションをクラッシュさせ、サービス拒否 (DoS) 状態を引き起こすことができます。問題は、SpotAuditor が受信した Base64 文字列を処理する方法にあります。これにより、過度に長い文字列が割り当てられたメモリを上書きし、プログラムを終了させます。この脆弱性の深刻度は CVSS 6.2 と評価されており、中程度のリスクを示しています。修正プログラム (fix) が利用できないため、軽減策は SpotAuditor が実行されているシステムへのローカルアクセスを制限することに重点が置かれています。

悪用の状況

CVE-2019-25666 の悪用には、SpotAuditor 3.6.7 を実行しているシステムへのローカルアクセスが必要です。攻撃者は、パスワードデコードインターフェイスを通じて過度に長い Base64 文字列を提供することで、この脆弱性を悪用する可能性があります。脆弱なコンポーネントによってこの文字列が処理されると、バッファオーバーフローがトリガーされ、アプリケーションが失敗します。攻撃者は、ローカルアクセスがある限り、特権を昇格させる必要はありません。悪用の容易さは比較的低く、悪意のある Base64 文字列を作成して送信する必要があるためですが、影響は大きく、サービス拒否につながります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H6.2MEDIUMAttack VectorLocal攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ローカル — システム上のローカルセッションまたはシェルが必要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントspotauditor
ベンダーNsauditor
影響範囲修正版
3.6.7 – 3.6.73.6.8

弱点分類 (CWE)

CWE-787

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から49日経過

緩和策と回避策

CVE-2019-25666 の SpotAuditor 3.6.7 への公式な修正プログラムがないため、主な軽減策は、境界セキュリティとアクセスセキュリティの対策に基づいています。SpotAuditor が実行されているシステムへのローカルアクセスを制限することを強くお勧めします。多要素認証や最小特権の原則などの厳格なアクセス制御を実装することで、ローカルの攻撃者がこの脆弱性を悪用するのを防ぐことができます。システムの活動を異常な動作がないか監視することも重要です。利用可能な場合は、SpotAuditor の新しいバージョンへのアップグレードを検討することが、長期的な最も効果的な解決策です。ネットワークセグメンテーションも、潜在的な悪用の影響を制限するのに役立ちます。

修正方法翻訳中…

Actualice SpotAuditor a una versión corregida que solucione la vulnerabilidad de desbordamiento de búfer en el componente de decodificación de contraseñas Base64. Consulte la documentación del proveedor o su sitio web para obtener información sobre las actualizaciones disponibles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25666 とは何ですか?(SpotAuditor の Buffer Overflow)

バッファオーバーフローは、プログラムが割り当てられたメモリバッファの境界を超えてデータを書き込もうとするときに発生します。これにより、隣接するデータが上書きされ、プログラムがクラッシュする可能性があります。

SpotAuditor の CVE-2019-25666 による影響を受けていますか?

「DoS」は「Denial of Service」(サービス拒否)を意味します。これは、ネットワークサービスまたはリソースを正当なユーザーが利用できなくすることを目的とした攻撃です。

SpotAuditor の CVE-2019-25666 を修正するにはどうすればよいですか?

現在、SpotAuditor デベロッパーは CVE-2019-25666 に対して公式な修正プログラムを提供していません。

CVE-2019-25666 は積極的に悪用されていますか?

システムへのローカルアクセスを制限し、厳格なアクセス制御を実装し、システムの活動を異常な動作がないか監視してください。

CVE-2019-25666 に関する SpotAuditor の公式アドバイザリはどこで確認できますか?

SpotAuditor 3.6.7 を使用している場合は、上記で説明した軽減策を実装し、利用可能な場合は新しいバージョンへのアップグレードを検討してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索