关键信息 1. 漏洞编号: - JVN#78335885 2. 受影响的产品: - Chatwork Desktop Application (Windows) 版本 2.9.2 之前的所有版本 3. 问题描述: - 使用了潜在危险函数 (CWE-676),允许用户通过链接访问外部网站。 4. 影响: - 用户点击恶意链接时,可能会下载并执行来自外部网站的任意文件。 - 可能导致设备上的任意代码执行。 5. 解决方案: - 更新应用程序: - 更新到最新版本,根据开发者的指示。 - 应用工作绕过: - 开发者建议禁用 Windows OS SMB 客户端功能。 6. 供应商状态: - 状态: 易受攻击 - 最后更新日期: 2024/10/28 - 供应商注释: 无 7. 参考链接: - JPCERT/CC Addendum - CVSS v3: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L - 基础分数: 5.5 8. 信用: - 由 Flatt Security Inc. 的 RyotaK 直接报告给开发人员,并协调解决。 - 通过 JVN 和 JPCERT/CC 协调发布。 9. 其他信息: - JPCERT Alert - JPCERT Reports - CERT Advisory - CPNI Advisory - TRnotes - CVE: CVE-2024-50307 - JVN iPedia: JVNDB-2024-000115 总结 这个漏洞报告提供了关于 Chatwork Desktop Application (Windows) 的详细信息,包括受影响的版本、问题描述、影响、解决方案、供应商状态、参考链接、信用和其他相关信息。