主要脆弱性情報 脆弱性情報概要 JVN番号: JVN#13030751 タイトル: ChatLuckにおける複数の脆弱性 公開日: 2025/10/16 更新日: 2025/10/16 影響を受ける製品 CVE-2025-53858, CVE-2025-54461 - ChatLuck V6.6 R2.0 およびそれより古いバージョン CVE-2025-58115 - ChatLuck V3.6 R1.0 から V6.6 R1.0 脆弱性の説明 クロスサイトスクリプティング脆弱性 (CWE-79) - チャットルームにおけるクロスサイトスクリプティング脆弱性 - CVSS v3.0: 5.4 - CVSS v4.0: 4.8 - ゲストユーザー登録におけるクロスサイトスクリプティング脆弱性 - CVSS v3.0: 6.1 - CVSS v4.0: 5.3 アクセス制御の粒度不足による脆弱性 (CWE-1229) - ゲストユーザー招待におけるアクセス制御の粒度不足 - CVSS v3.0: 5.3 - CVSS v4.0: 6.9 影響 製品のユーザーのWebブラウザ上で任意のスクリプトが実行される可能性がある (CVE-2025-53858, CVE-2025-58115) 招待されていないゲストユーザーが、自らゲストユーザーとして登録できる (CVE-2025-54461) 解決策 ソフトウェアの更新 - 開発者が提供した情報に基づき、ソフトウェアを最新バージョンに更新してください。 - 開発者は、以下の脆弱性を修正したアップデートをリリースしています: - CVE-2025-53858, CVE-2025-54461: ChatLuck V6.7 R1.0 - CVE-2025-58115: ChatLuck V6.6 R2.0 ベンダーのステータス ベンダー: NEOJAPAN Inc. ステータス: 脆弱性あり 最終更新: 2025/10/16 ベンダー備考: NEOJAPAN Inc. 公式サイト 参考資料 JPCERT/CC 補足資料 脆弱性分析は JPCERT/CC によって提供されました その他情報 通報者: GMOサイバーセキュリティ (株式会社イラク) の石井健太郎 調整: 情報セキュリティ早期警戒パートナーシップの下、JPCERT/CC が開発者と調整