JVN#86318557:Lanscope终端管理器(本地部署版)存在通信通道源验证不当漏洞
发布日期:2025年10月20日
最后更新:2025年10月21日
概述
MOTEX公司提供的Lanscope终端管理器(本地部署版)存在一个漏洞,由于通信通道源验证不当(CWE-940),导致可能执行任意代码。
受影响产品
- Lanscope终端管理器(本地部署版) 9.4.7.1及更早版本
- 客户端程序(MR)
- 检测代理(DA)
Lanscope终端管理器(云版本)不受此漏洞影响。
漏洞描述
MOTEX公司提供的Lanscope终端管理器(本地部署版)存在以下漏洞:
通信通道源验证不当 (CWE-940)
CVSS评分:
- CVSS 4.0: 9.3分 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)
- CVSS 3.0: 9.8分 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- CVE编号:CVE-2025-61932
MOTEX公司已确认有客户收到了疑似针对此漏洞的恶意数据包。
影响
攻击者发送特制数据包可能导致受影响产品执行任意代码。
解决方案
更新产品
将产品更新到已修复的版本。
应用临时解决方案
在更新产品之前,开发者建议用户应用临时解决方案。
更多详细信息,请参考开发者提供的信息。
供应商状态
| 供应商 | 链接 |
|---|---|
| MOTEX公司 | [重要通知]:LANSCOPE终端管理器(本地部署版)远程代码执行漏洞 (CVE-2025-61932) (日文) |
参考资料
- JPCERT/CC CyberNewsFlash 2025-10-20:关于Lanscope终端管理器(本地部署版)通信通道源验证不当漏洞(CVE-2025-61932) (日文)
- JPCERT/CC附录
- JPCERT/CC漏洞分析
致谢
MOTEX公司向IPA报告了此漏洞,通过JVN向用户通知解决方案。JPCERT/CC和MOTEX公司在信息安全早期预警合作伙伴关系下进行了协调。
其他信息
| 资源类型 | 标识符 |
|---|---|
| CVE | CVE-2025-61932 |
| JVN iPedia | JVNDB-2025-000088 |
更新历史
- 2025年10月20日:更新了[参考资料]部分的信息
- 2025年10月21日:更新了[受影响产品]和[解决方案]部分的信息