MaLion 端末エージェント（Windows）における複数の脆弱性につきまして

1.概要

「MaLion Ver.7.1.1.9」 および 「MaLionCloud Ver.7.2.0.1」 より前のバージョンの端末エージェントにおいて以下の脆弱性が存在することが判明しました。これら脆弱性を悪用された場合、以下のような危険性が考えられます。

1. MaLion端末エージェントが導入されたWindows端末に対し、攻撃者が特殊なリクエストを送ることで、Windows端末の最上位の権限(SYSTEM権限)で任意のプログラムが実行される危険性

なお、「MaLion Ver.5.3.4」より前のバージョンの端末エージェント（Windows）における脆弱性として「インストール時の不適切なファイルアクセス権設定」（CVE-2025-59485)が公表されていますが、こちらはすでに「MaLion Ver.5.3.4」以降の端末エージェント（Windows）で対応済みとなっております。

2.脆弱性の説明

1. HTTPヘッダ処理におけるスタックベースのバッファオーバーフロー（CWE-121）（CVE-2025-62691）

   Windows端末で稼働する「MaLion」の端末エージェントが受信するHTTPリクエストの処理に不備があり、これを利用してネットワーク攻撃者がリモートからSYSTEM権限で任意の操作を実行する危険性があります。

2. Content-Length処理におけるヒープベースのバッファオーバーフロー（CWE-122）（CVE-2025-64693）

   1. と同様に、Windows端末で稼働するMaLionの端末エージェントが受信するHTTPリクエストの処理に不備があり、これを利用してネットワーク攻撃者がリモートから当該端末に対するDoS(サービス妨害)攻撃などを引き起こす危険性があります。

上記の脆弱性は事前に暫定対策を公開せずに今回初めて公開いたしました。これは対策方法の確立に時間を要したため、公開することのリスクを懸念し、またJPCERT/CCのガイドラインに沿って検討した結果でございます。何卒ご理解いただけますようお願いいたします。

3.該当するバージョンおよびモジュール

• MaLion：Ver.7.1.1.9 より前のバージョンの端末エージェント（Windows）
• MaLionCloud：Ver.7.2.0.1 より前のバージョンの端末エージェント（Windows）

4.対策方法

脆弱性に対策したバージョンへのアップデートをお願いいたします。

• MaLion：Ver.7.1.1.9 以降のバージョンの端末エージェント（Windows）
• MaLionCloud：Ver.7.2.0.1 以降のバージョンの端末エージェント（Windows）

プログラムのダウンロードやアップデートの手順などにつきましては、「MaLion クラブ」内でご案内しております。

※旧バージョンをご利用のお客様につきましては、MaLion クラブ内で旧バージョンでの暫定対策方法をご紹介しております。ご対応のほどお願いいたします。なお恒久対策として最新版へのアップデートをお勧めいたしますので、併せてご検討をお願いいたします。