公開日:2022/11/25 最終更新日:2023/01/11
JVNVU#92877622
オムロン製CX-Programmerにおける複数の脆弱性
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性が存在します。
CVE-2022-43508
- CX-Programmer Ver.9.77およびそれ以前
- CX-Programmer Ver.9.78およびそれ以前
- CX-Programmer Ver.9.79およびそれ以前
オムロン株式会社が提供するCX-Programmerには、次の複数の脆弱性が存在します。
- 解放済みメモリの使用(Use-after-free)(CWE-416)- CVE-2022-43508、CVE-2023-22277、CVE-2023-22317、CVE-2023-22314
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 境界外書き込み(CWE-787)- CVE-2022-43509
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - スタックベースのバッファオーバーフロー(CWE-121)- CVE-2022-43667
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
細工されたCXPファイルをユーザに開かせることで、情報漏えいが発生したり、任意のコード実行がされたりする可能性があります。
アップデートする
本製品におけるアップデートは、Auto Update機能により自動的に適用されるものですが、アップデートが適用されないなどの問題がある場合は、開発者もしくは製品購入元にお問合せください。
詳しくは、開発者が提供する情報をご確認ください。
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Michael Heinzl 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2022-43508 |
|
CVE-2022-43509 |
|
|
CVE-2022-43667 |
|
|
CVE-2023-22277 |
|
|
CVE-2023-22317 |
|
|
CVE-2023-22314 |
|
| JVN iPedia |
|
- 2022/12/15
- [影響を受けるシステム]、[対策方法]を更新しました
- 2023/01/11
- [影響を受けるシステム]、[詳細情報]、[参考情報]、[関連文書]を更新し、オムロン株式会社のベンダステータスが更新されました
