脆弱性情報

LogStare Collectorにおける複数の脆弱性について(2025-001)

2025.11.20

平素より弊社製品をご愛顧賜りまして厚く御礼申し上げます。
弊社の「LogStare Collector」において、複数の脆弱性が確認されました。
対象バージョンをご利用のお客様におかれましては、大変お手数ですが対策済みバージョンへのアップデートをお願いいたします。

影響を受けるバージョン

CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299
・LogStare Collector(Windows版)2.4.1およびそれ以前
・LogStare Collector(Linux版)2.4.1およびそれ以前

CVE-2025-64695
・LogStare Collector(Windows版)2.4.1およびそれ以前のインストーラ

バージョンの確認方法およびアップデート方法

LogStare Collectorのバージョン確認方法およびアップデート方法は以下の記事をご参照ください。

LogStare Collector アップデート手順(※1)
https://www.secuavail.com/kb/references/tb-221114-01/

※1 弊社グループ企業である株式会社セキュアヴェイルのドメインで運営している「ナレッジステア」にて公開しております。

概要

LogStare Collectorには以下の複数の脆弱性が存在します。

  • インストールディレクトリのファイルアクセス権設定が不適切(CWE-276、CVE-2025-58097)
  • ユーザ管理機能における格納型クロスサイトスクリプティング(CWE-79、CVE-2025-61949)
  • ユーザアカウント作成におけるアクセス制限不備(CWE-863、CVE-2025-62189)
  • クロスサイトリクエストフォージェリ(CWE-352、CVE-2025-62687)
  • 送信データへの機微な情報の挿入(CWE-201、CVE-2025-64299)
  • インストーラにおけるファイル検索パスの制御不備(CWE-427、CVE-2025-64695)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 管理者権限を持たない一般ユーザによって、当該製品のインストールディレクトリ内のファイルを操作され、管理者権限で任意のコードを実行される(CVE-2025-58097)
  • 細工されたユーザ情報が入力されている場合、当該製品の管理画面にログインしたユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2025-61949)
  • 管理者権限を持たない一般ユーザが、細工されたHTTPリクエストにより新規ユーザアカウントを作成する(CVE-2025-62189)
  • 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2025-62687)
  • 管理者権限を持つユーザによって、他のユーザのパスワードハッシュを取得される(CVE-2025-64299)
  • インストーラを実行している権限で、任意のコードを実行される(CVE-2025-64695)

対策方法

LogStare Collector 2.4.2へのバージョンアップ

参考情報

N/A

更新履歴

2025/11/20 脆弱性情報を公開しました。

連絡先

本件につきまして、ご不明な点がございましたら以下よりお問い合わせ下さい。

サポート問い合わせフォーム
https://www.logstare.com/support_policy/#sppForm

資料ダウンロード

LogStareについてまとめた資料を
ダウンロードできます

資料ダウンロード
無償版

まずは無償版で
ご体験ください

無償版
お問い合わせ

ご不明な点等ございましたら
お気軽にお問い合わせください

お問い合わせ