JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月27日、「JVNVU#98395603: Luxion 製 KeyShot における複数の脆弱性」において、Luxionの「 KeyShot」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、実行中のプロセスの権限で任意のコードが実行されたり、実行されているプロセスの権限の範囲で情報が窃取されたりする危険性がある。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Datakit 製 CrossCAD/Ware が同梱されているLuxion KeyShot v10.2よりも前のすべてのバージョン

Datakit 製 CrossCAD/Ware Version 2021.1 およびぞれ以前に含まれる以下のモジュールが影響を受ける。

  • CatiaV5_3dRead
  • CatiaV6_3dRead
  • Step3dRead
  • Ug3dReadPsr
  • Jt3dReadPsr

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Luxion KeyShot v10.2
  • JVNVU#98395603: Luxion 製 KeyShot における複数の脆弱性

    JVNVU#98395603: Luxion 製 KeyShot における複数の脆弱性

Luxion KeyShotは3D レンダリング・アニメーションソフトウェア。細工されたファイルを読み込むことで、対象の脆弱性が悪用されるおそれがあるとされており注意が必要。脆弱性の深刻度はCVSSv3スコアで7.8の重要と評価されている。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。