Source: https://thehackernews.com/2025/09/two-critical-flaws-uncovered-in.html
🛡 概要
Wondershare RepairItにおいて、ユーザーのプライバシーを侵害する重大な脆弱性が発見されました。これにより、ユーザーのデータが漏洩し、AIモデルが改竄される可能性が浮上しています。Trend Microによって発見されたこの二つの脆弱性は、CVE-2025-10643とCVE-2025-10644であり、CVSSスコアはそれぞれ9.1と9.4です。これらの脆弱性は、適切な認証を回避し、悪意のある攻撃者がシステムに侵入できる可能性を秘めています。
🔍 技術詳細
CVE-2025-10643は、ストレージアカウントトークンの権限に関連する認証バイパスの脆弱性です。同様に、CVE-2025-10644もSASトークンの権限に起因する認証バイパスの脆弱性です。これにより、攻撃者は認証を回避し、任意のコードを実行する可能性があります。この脆弱性を利用することで、ユーザーのデータだけでなく、Wondershareが開発したソフトウェアのバイナリやAIモデルへのアクセスも可能となります。
⚠ 影響
これらの脆弱性は、ユーザーのプライバシーを脅かすだけでなく、企業の知的財産や顧客の信頼を損なう可能性があります。データが暗号化されずに保存されているため、悪用されるリスクが高まります。さらに、悪意のある攻撃者は、AIモデルを改竄することで、ユーザーに悪影響を及ぼすソフトウェアを配布することができます。これにより、法的な問題や規制違反のリスクも生じます。
🛠 対策
Wondershareはこの問題を認識し、迅速に対応する必要があります。ユーザーは、製品とのインタラクションを制限し、セキュリティを強化するための対策を講じることが求められます。具体的には、開発プロセスにおいてセキュリティを重視し、データの暗号化やアクセス制御を強化することが必要です。また、定期的なセキュリティ監査を実施し、新しい脆弱性に対する迅速な対応を行うことが重要です。これにより、ユーザーの信頼を回復し、将来的なリスクを軽減することができます。
