JVN#28247549:INZONE Hub安装程序可能不安全地加载动态链接库
发布时间: 2025/11/28 最后更新: 2025/11/28
JVN#28247549 INZONE Hub安装程序可能不安全地加载动态链接库
概述
索尼公司提供的INZONE Hub安装程序可能不安全地加载动态链接库。
受影响产品
- INZONE Hub 1.0.10.3 至 1.0.17.0
描述
索尼公司提供的INZONE Hub安装程序存在以下与DLL搜索路径相关的漏洞,可能导致动态链接库被不安全地加载。
- 未受控的搜索路径元素(CWE-427)
CVSS评分:
- CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基础分数 8.4
- CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基础分数 7.8
CVE编号: CVE-2025-64772
影响
攻击者可能以调用安装程序的用户权限执行任意代码。
解决方案
使用不受影响的版本 根据开发者提供的信息,请使用最新的安装程序。
厂商状态
| 厂商 | 链接 |
|---|---|
| Sony Corporation | INZONE Hub支持 |
参考信息
- Japan Vulnerability Notes JVNTA#91240916:许多Windows应用程序程序中的不安全DLL加载和命令执行问题
JPCERT/CC补充说明
- JPCERT/CC进行的漏洞分析
致谢
GMO Cybersecurity by IERAE, Inc. 的 Kazuma Matsumoto 将此漏洞报告给IPA。 JPCERT/CC根据信息安全早期预警伙伴关系与开发者进行了协调。
其他信息
- JPCERT Alert: (链接)
- JPCERT Reports: (链接)
- CERT Advisory: (链接)
- CPNI Advisory: (链接)
- TRnotes: (链接)
- CVE: CVE-2025-64772
- JVN iPedia: JVNDB-2025-000112