JVNVU#92478269
Schneider Electric 製 EcoStruxure Operator Terminal Expert に複数の脆弱性

Schneider Electric が提供する EcoStruxure Operator Terminal Expert には、複数の脆弱性が存在します。

• EcoStruxure Operator Terminal Expert 3.1 Service Pack 1 およびそれ以前 (旧製品名: Vijeo XD)

EcoStruxure Operator Terminal Expert は Schneider Electric が提供するオートメーションシステム制御向けタッチスクリーン設定用ソフトウェアです。EcoStruxure Operator Terminal Expert には次の複数の脆弱性が存在します。

• SQLインジェクション (CWE-89) - CVE-2020-7493

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

  基本値: 8.6

• パストラバーサル (CWE-22) - CVE-2020-7494

  CVSS v3

  CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

  基本値: 7.7

• パストラバーサル (CWE-22) - CVE-2020-7495

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

  基本値: 3.3

• 引数の挿入または変更 (CWE-88) - CVE-2020-7496

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

  基本値: 3.3

• パストラバーサル (CWE-22) - CVE-2020-7497

  CVSS v3

  CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H

  基本値: 6.3

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 細工されたプロジェクトファイルを開いた際に、悪意のあるコードが実行される - CVE-2020-7493、CVE-2020-7494
• 細工されたプロジェクトファイルを開いた際に、想定外のパスへ不正な書込みが行われる - CVE-2020-7495、CVE-2020-7496
• コンピュータの起動時に、任意のアプリケーションが実行される - CVE-2020-7497