---

Lhazにおけるパストラバーサルの脆弱性

■概要

ファイル名が特定の書庫ファイルについて、フォルダ自動生成機能ONの状態で展開すると書庫のあるフォルダのひとつ上の階層のフォルダに展開されてしまいます。

この問題の影響を受けるLhaz/Lhaz+のバージョンを以下に示しますので、以下の修正プログラムを適用してください。

■該当製品の確認方法

影響を受ける製品は以下の製品です。

製品名称　Lhaz

該当バージョン 2.6.3以前の全てのバージョン

製品名称　Lhaz+

該当バージョン 3.6.3以前の全てのバージョン

使用しているバージョン番号の確認方法は以下の通りです。

1, Lhaz/Lhaz+を起動し、「ヘルプ」メニューから「バージョン情報」を選択する。

2. 現れたウィンドウの下記の部分が起動しているLhaz/Lhaz+のバージョン番号です。

■脆弱性の説明

Lhaz/Lhaz+は、フォルダ自動生成機能ONの場合、書庫ファイル名と同名のフォルダを作成してそのフォルダ内にファイルを展開します。

書庫ファイル名が特定のものであった場合、書庫ファイル名と同名のフォルダは作成されず、解凍先フォルダが書庫のひとつ上のフォルダとなってしまい、意図しない場所に悪意のあるファイルが展開される可能性があります。

■脆弱性がもたらす脅威

書庫内のファイルが想定外のフォルダに書き込まれ、任意のコードが実行された場合、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、システム管理者の権限でコンピュータを任意に操作する可能性があります。

■対策方法

Lhaz バージョン2.6.3 以前の製品を利用されているお客様は、バージョン2.6.4 以降の対策版製品をインストールしてください。

Lhaz+ バージョン3.6.3 以前の製品を利用されているお客様は、バージョン3.6.4 以降の対策版製品をインストールしてください。

修正プログラムのダウンロード

　Lhaz v2.6.4 / Lhaz+ 3.6.4のダウンロード

■回避策

この脆弱性は、フォルダ自動生成機能をOFFにすることで、影響を緩和することができます。

■関連情報

JVN#68350834 Lhazにおけるパストラバーサルの脆弱性

■謝辞

ＧＭＯ Ｆｌａｔｔ Ｓｅｃｕｒｉｔｙ株式会社のＲｙｏｔａＫ、矢野 礼伊様よりこの問題をご報告いただき、対策を行うことが出来ました。ありがとうございました。

■更新履歴

2026.04.15 この脆弱性情報ページを公開しました。

■連絡先

脆弱性連絡窓口

メール：chitorasoft@gmail.com