公開日:2022/03/04 最終更新日:2022/03/04
JVNVU#90121984
オムロン製CX-Programmerにおける複数の脆弱性
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性が存在します。
- CX-One(v4.60)に含まれるCX-Programmer v9.76.1およびそれ以前
オムロン株式会社が提供するCX-Programmerには、次の複数の脆弱性が存在します。
- 境界外書き込み(CWE-787)- CVE-2022-21124
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 解放済みメモリの使用(Use-after-free)(CWE-416)- CVE-2022-25230
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 解放済みメモリの使用(Use-after-free)(CWE-416)- CVE-2022-25325
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 境界外読み取り(CWE-125)- CVE-2022-21219
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 境界外書き込み(CWE-787)- CVE-2022-25234
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
ユーザに細工されたCXPファイルを開かせることで、情報漏えいが発生したり、任意のコード実行がされたりする可能性があります。
アップデートする
本製品におけるアップデートは、Auto Update機能により自動的に適用されるものですが、アップデートが適用されないなどの問題がある場合は、開発者もしくは製品購入元にお問合せください。
対策済みバージョンは次の通りです。
- CX-Programmer バージョン Ver.9.77
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Michael Heinzl 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2022-21124 |
|
CVE-2022-25230 |
|
|
CVE-2022-25325 |
|
|
CVE-2022-21219 |
|
|
CVE-2022-25234 |
|
| JVN iPedia |
|
