公開日:2018/12/05 最終更新日:2018/12/05

JVNVU#90473043
オムロン製 CX-One に複数の脆弱性

概要

オムロン株式会社が提供する CX-One には、複数の脆弱性が存在します。

影響を受けるシステム

次のアプリケーションを含む CX-One Version 4.42 およびそれ以前

  • CX-Programmer Version 9.66 およびそれ以前
  • CX-Server Version 5.0.23 およびそれ以前

詳細情報

オムロン株式会社が提供する CX-One には、次の複数の脆弱性が存在します。

  • バッファオーバーフロー (CWE-121) - CVE-2018-18993
    細工されたプロジェクトファイルを処理することで、結果として任意のコードが実行される
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H 基本値: 6.6
    CVSS v2 AV:L/AC:L/Au:N/C:P/I:P/A:C 基本値: 6.1
  • 解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2018-18989
    細工されたプロジェクトファイルを処理することで、結果として任意のコードが実行される
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:H 基本値: 5.8
    CVSS v2 AV:L/AC:H/Au:N/C:P/I:P/A:C 基本値: 5.2

想定される影響

第三者によって、アプリケーションの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
オムロン株式会社 CX-One バージョンアップ プログラム ダウンロード
CX-Programmer の更新内容 | Ver.9.70 : CX-Oneオートアップデート(V4向け_2018年12月)
共通モジュール の更新内容 | − :CX-Oneオートアップデート(V4向け_2018年12月)

参考情報

  1. ICS-CERT Advisory (ICSA-18-338-01)
    Omron CX-One

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-18989
CVE-2018-18993
JVN iPedia