概要
VPN Browser+ バージョン 1.1.0.0 (Microsoft Store 版) の 検索 機能 に サービス 拒否 (DoS) 脆弱性 が 存在 します。 認証 されていない 攻撃者 が 検索バー に 大量 の バッファ 文字列 を ペースト する と、 未処理 の 例外 が 発生 し アプリケーション が 強制 終了 します。
本脆弱性 は CWE-306(認証 の 欠如)に 分類 されています。2018年 に 発見 された 脆弱性 ですが、 NVD に CVE ID が 正式 に 割り当てられ たの は 2026年4月 です。 入力 検証 の 不備 に より、 過大 な サイズ の 文字列 が そのまま 処理 されて しまう こと が 原因 です。 ローカル 環境 で の 攻撃 に 限定 されますが、 アプリケーション の 可用性 が 損なわれる 可能性 が あります。 Microsoft Store で 配布 されている アプリケーション の ため、 ストア 経由 で の アップデート 有無 を 確認 する こと を 推奨 します。 同様 の 脆弱性 パターン が CVE-2018-25245(7 Tik)や CVE-2018-25246(Wikipedia アプリ)でも 報告 されて おり、 Microsoft Store アプリ の 入力 バリデーション に 共通 の 課題 が ある こと が うかがえます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-306 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| VPN Browser+ | Microsoft Store | 1.1.0.0 |
修正 バージョン と 回避策
- 修正: 開発者 による 修正 バージョン の 提供 状況 を Microsoft Store で 確認 して ください
- 回避策: 検索バー に 大量 の 文字 を 入力 しない よう 注意 する。 入力 サイズ に 制限 が ない ため、 コピー アンド ペースト に 注意 が 必要 です
- 補足: Microsoft Store 版 アプリ の ため、 ストア 経由 で の アップデート を 確認 して ください。 本脆弱性 は 2018年 に 発見 された もの であり、 現在 も 修正 されていない 可能性 が あります
- 代替手段: 修正 が 提供 されていない 場合 は 代替 アプリケーション の 利用 を 検討 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。