公開日:2024/06/26 最終更新日:2024/06/28

JVNVU#92302495
横河電機製FAST/TOOLSおよびCIサーバにおける複数の脆弱性

概要

横河電機製FAST/TOOLSおよびCIサーバには、複数の脆弱性が存在します。

影響を受けるシステム

  • FAST/TOOLS
    • R9.01 - R10.04
      • パッケージ:RVSVRN、UNSVRN、HMIWEB、FTEES、HMIMOB
  • 統合情報サーバ(CIサーバ)
    • R1.01.00 – R1.03.00

詳細情報

横河電機株式会社が提供するFAST/TOOLSおよびCIサーバには、次の複数の脆弱性が存在します。

  • 反射型クロスサイトスクリプティング(CWE-79
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値 5.8
    • CVE-2024-4105
  • 設定ファイル内の空のパスワード(CWE-258
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
    • CVE-2024-4106

想定される影響

想定される影響は各脆弱性によって異なりますが、次のような可能性があります。

  • 当該製品がインストールされた端末上で、任意のスクリプトが実行される(CVE-2024-4105)
  • 遠隔の第三者によって、パスワードが設定されていないビルトインアカウントで当該製品にアクセスされる(CVE-2024-4106)
詳しくは、開発者が提供する情報を確認してください。

対策方法

アップデートする
開発者が提供する情報をもとに、修正バージョンへアップデートしてください。
また、初期設定のままアカウントのパスワードを変更していない場合は、修正バージョンに同梱されているドキュメントに従い、パスワードを変更してください。

詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
横河電機株式会社 YSAR-24-0001: FAST/TOOLSとCIサーバに複数の脆弱性

参考情報

  1. ICS Advisory | ICSA-24-179-03
    Yokogawa FAST/TOOLS and CI Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/06/28
[参考情報]にICS Advisoryのリンクを追加しました