关键漏洞信息 漏洞ID: JVN#65733194 标题: The installers of ScanSnap Manager may insecurely load Dynamic Link Libraries 发布时间: 2021/05/21 最后更新时间: 2021/05/21 受影响的产品 ScanSnap Manager - 多个ScanSnap Manager安装程序在V7.0L20之前的版本 Software Download Installer - WinSSInst2JP.exe和WinSSInst2iX1500JP.exe的安装程序在之前版本 描述 FuJITSU LIMITED提供的ScanSnap Manager的安装程序包含在DLL搜索路径中的问题,这可能导致不安全地加载动态链接库(CWE-427)。 影响 任意代码可能以调用安装程序的用户的权限执行。 解决方案 使用最新的安装程序 - 使用开发人员提供的最新安装程序。 - 在执行安装程序时,确保安装程序所在的目录中没有可疑文件。 厂商状态 FuJITSU LIMITED: 易受攻击,最后更新2021/05/21 PFU LIMITED: 易受攻击,最后更新2021/05/21 引用 1. Japan Vulnerability Notes JVNTA#91240916 - Insecure DLL Loading and Command Execution Issues on Many Windows Application Programs JPCERT/CC附录 CVSS v3: 基础分 - 7.8 CVSS v2: 基础分 - 6.8 注释 该分析假设用户被诱骗在特定文件夹中放置由攻击者准备的恶意DLL文件。 致谢 Yuji Tounai of Mitsui Bussan Secure Directions, Inc.向IPA报告了此漏洞。JPCERT/CC在信息安全早期预警合作伙伴关系下与开发人员协调。 其他信息 CVE: CVE-2021-20722 JVNDDB: JVNDDB-2021-000041