公開日:2020/11/04 最終更新日:2021/01/06
JVNVU#95679259
ARC Informatique 製 PcVue に複数の脆弱性
ARC Informatique 社 が提供する PcVue には、複数の脆弱性が存在します。
- PcVue Version 8.10 から 12.0.17 より前のバージョンまで
PcVue は Human Machine Interface (HMI) の制御ソフトウエアです。
PcVue には次の複数の脆弱性が存在します。
- 信頼されていないデータのデシリアライズ (CWE-502) - CVE-2020-26867
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - パブリックメソッドを介した重要なプライベート変数へのアクセス (CWE-767) - CVE-2020-26868
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5 - 情報漏えい (CWE-200) - CVE-2020-26869
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。
- 攻撃者が用意した信頼できないデータをデシリアライズすることで、Web およびモバイル用バックエンドサーバ上で任意のコードを実行される - CVE-2020-26867
- 認証されていない攻撃者によって、正当な Web クライアントが送信したメッセージの検証に利用されるデータを変更され、サービス運用妨害 (DoS) される - CVE-2020-26868
- 認証されていない攻撃者によって、正当なユーザのセッションデータにアクセスされ、機微な情報を窃取される - CVE-2020-26869
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- PcVue Version 12.0.17
開発者が提供する情報をもとにパッチを適用してください。
開発者は、Version 12 および Version 11.2 向けのパッチを提供しています。
ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- Web およびモバイル用バックエンド機能を利用していなければ、当該機能をアンインストールする。
- 対応するポートでの接続を IISWeb サーバプロセスによって開始された場合にのみ許可されるようにファイアウォールの設定を変更する。
| ベンダ | リンク |
| PcVue Solutions | Security bulletin: SB2020-1(要ログイン) |
| PcVue Support |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-26867 |
|
CVE-2020-26868 |
|
|
CVE-2020-26869 |
|
| JVN iPedia |
- 2021/01/06
- 【対策方法】パッチを適用する方法を追加しました。ワークアラウンドの内容を修正しました。【ベンダ情報リンク】アップデート方法を入手するためのサポートサイトを追記しました。
