公開日:2021/12/03 最終更新日:2021/12/03

JVNVU#94925757
Distributed Data Systems製WebHMIにおける複数の脆弱性

概要

Distributed Data Systems社が提供するWebHMIには、複数の脆弱性が存在します。

影響を受けるシステム

  • WebHMI 4.1より前のファームウェアバージョン

詳細情報

Distributed Data Systems社が提供するWebHMIには、次の複数の脆弱性が存在します。

  • 認証回避 (CWE-305) - CVE-2021-43931
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-43936
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0

想定される影響

想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • パスワード無しで管理者権限にログインされる - CVE-2021-43931
  • root権限で任意のコードを実行される - CVE-2021-43936

対策方法

アップグレードする
開発者が提供する情報をもとに、ファームウェアを最新版へアップグレードしてください。
開発者は、本脆弱性を修正したWebHMI 4.1をリリースしています。

ベンダ情報

ベンダ リンク
Distributed Data Systems New WebHMI firmware release 4.1

参考情報

  1. ICS Advisory (ICSA-21-336-03)
    Distributed Data Systems WebHMI

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia