CVE-2024-48605
Helakuru における DLL ハイジャック脆弱性
報告者
Suraj Theekshana
概要
Helakuru Desktop Application バージョン 1.1 において、wow64log.dll の検証が不十分なため DLL ハイジャックの脆弱性があります。
影響
ローカルの攻撃者が悪意ある DLL を配置すると、アプリケーションがそれを読み込んで任意のコードが実行される可能性があり、最終的に権限昇格やリモートでのコード実行に繋がる恐れがあります。
重要度
CVSS v3 基本スコアは 7.8(高)と評価されています。
基本スコア(Base Score)
7.8 (High)
CVSS Vector:
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(Attack Vector)
ネットワーク(Network)
隣接ネットワーク(Adjacent)
ローカル環境(Local)
物理アクセス(Physical)
攻撃の複雑さ(Attack Complexity)
低(Low)
高(High)
必要な権限(Privileges Required)
不要(None)
低(Low)
高(High)
ユーザー関与(User Interaction)
不要(None)
必要(Required)
スコープ(Scope)
変更なし(Unchanged)
変更あり(Changed)
機密性(Confidentiality)
影響なし(None)
低(Low)
高(High)
完全性(Integrity)
影響なし(None)
低(Low)
高(High)
可用性(Availability)
影響なし(None)
低(Low)
高(High)
参考情報
• NVD(公式エントリ):https://nvd.nist.gov/vuln/detail/CVE-2024-48605
• debricked(脆弱性データベース):https://debricked.com/vulnerability-database/vulnerability/CVE-2024-48605
• GitHub(PoC を検索):https://github.com/search?q=CVE-2024-48605
投稿者プロフィール
-
Associate Red Team Engineer | Bug Bounty Hunter
スリランカ初のHackTheBox Offshore認定を取得したセキュリティエンジニアです。レッドチーム演習、ワイヤレスセキュリティ、マルウェア解析、リバースエンジニアリングを専門とし、Allianz、Crowdstrike、Nokia、WSO2、PayHere、HackerOneなどの大手プラットフォームで重要な脆弱性を発見してきました。複数のHall of Fameに名を連ねるほか、CVE(CVE-2024-34452, CVE-2024-48605)への貢献実績を持ち、世界的に高く評価されています。
主な保有資格:
● OSCP+(OffSec Certified Professional Plus)
● OSCP(Offensive Security Certified Professional)
● OSWP(Offensive Security Wireless Professional)
● HTB Offshore Penetration Tester(Level 3)
● Active Directory Penetration Testing Skill Path
最新の投稿
2025.11.18CVE-2025-64027- 2025.11.07CVE-2025-63589
- 2025.11.07CVE-2025-63588
- 2025.10.09CVE-2024-48605