公開日:2023/01/25 最終更新日:2023/01/25
JVNVU#90657051
XINJE製XD/E Series PLC Program Toolにおける複数の脆弱性
XINJE社が提供するXD/E Series PLC Program Toolには、複数の脆弱性が存在します。
- XD/E Series PLC Program Tool v3.5.1以前のバージョン
XINJE社が提供するXD/E Series PLC Program Toolには、次の複数の脆弱性が存在します。
- 相対パストラバーサル (CWE-23) - CVE-2021-34605
- ファイル検索パスの制御不備 (CWE-427) - CVE-2021-34606
脆弱性を悪用された場合、ローカルの低権限ユーザによって次のような影響を受ける可能性があります。
- 特別に細工されたプロジェクトファイルを手動で開いたり、細工されたプロジェクトファイルが既に書き込まれているXINJE PLCからのプログラムアップロードを実行すると、任意のコード実行、情報漏えい、およびサービス運用妨害(DoS)状態が発生する - CVE-2021-34605
- 悪意のあるDLLをロードされ、別のユーザーアカウント権限で任意のコードを実行される - CVE-2021-34606
2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。
ベンダ | リンク |
XINJE | Technical Support |