JVN#61182380:AutoDownloader安装程序可能不安全加载动态链接库
发布时间:2025/10/17
最后更新:2025/10/17
概述
松下Connect有限公司提供的AutoDownloader安装程序可能不安全加载动态链接库。
受影响产品
- AutoDownloader Ver1.2.8
漏洞描述
松下Connect有限公司提供的AutoDownloader安装程序在DLL搜索路径中存在以下漏洞,可能导致不安全加载动态链接库:
- 未受控的搜索路径元素(CWE-427)
CVSS评分:
- CVSS:4.0 基础评分8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)
- CVSS:3.0 基础评分7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
- CVE-2025-11223
影响
攻击者可能以调用安装程序的用户权限执行任意代码。
解决方案
停止使用产品 受影响产品已不再支持。如果设备中存在受影响的安装程序,请删除该安装程序。
开发者建议客户使用替代产品"AutoDownloaderLite"。
厂商状态
| 厂商 | 链接 |
|---|---|
| Panasonic Connect Co., Ltd. | Auto Downloader安装程序导致的漏洞(PDF,日文) |
| Auto Downloader Lite(日文) |
参考信息
- Japan Vulnerability Notes JVNTA#91240916:许多Windows应用程序程序中的不安全DLL加载和命令执行问题
- JPCERT/CC附录
- JPCERT/CC的漏洞分析
致谢
GMO Cybersecurity by IERAE, Inc.的Kazuma Matsumoto向IPA报告了此漏洞。 JPCERT/CC在信息安全早期预警合作伙伴关系下与开发者进行了协调。
其他信息
- JPCERT Alert
- JPCERT Reports
- CERT Advisory
- CPNI Advisory
- TRnotes
- CVE
- JVN iPedia JVNDB-2025-000089