JVNVU#95922371
複数のRockwell Automation製品における複数の脆弱性

Rockwell Automationが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-2425、CVE-2024-2426、CVE-2024-2427

• PowerFlex 527 バージョン v2.001.xより後のバージョン

• Arena Simulation Software バージョン 16.00

• FactoryTalk View ME v14より前のバージョン

Rockwell Automationが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不適切な入力確認 (CWE-20) - CVE-2024-2425、CVE-2024-2426
• リソースの枯渇 (CWE-400) - CVE-2024-2427
• 境界外書き込み (CWE-787) - CVE-2024-21912
• ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2024-21913
• メモリバッファ―エラー (CWE-119) - CVE-2024-2929
• 解放済みメモリの使用 (CWE-416) - CVE-2024-21918
• 初期化していないポインタへのアクセス (CWE-824) - CVE-2024-21919
• 境界外読み取り (CWE-125) - CVE-2024-21920
• クロスサイトスクリプティング (CWE-79) - CVE-2024-21914

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• サービス運用妨害（DoS）状態にされる - CVE-2024-2425、CVE-2024-2426、CVE-2024-2427
• 攻撃者によって細工されたファイルを当該製品のユーザが開いた場合、任意のコードを実行される - CVE-2024-21912、CVE-2024-21913、CVE-2024-2929、CVE-2024-21918、CVE-2024-21919
• 攻撃者によって細工されたファイルを当該製品のユーザが開いた場合、機微な情報を窃取されたり、サービス運用妨害（DoS）状態にされたりする - CVE-2024-21920
• 認証されていない攻撃者によって、当該製品をリモートで再起動される - CVE-2024-21914

CVE-2024-2425、CVE-2024-2426、CVE-2024-2427
ワークアラウンドを実施する
2024年3月27日時点で、本脆弱性に対する修正は提供されていません。
開発者は、ワークアラウンドの適用を推奨しています。

CVE-2024-21912、CVE-2024-21913、CVE-2024-2929、CVE-2024-21918、CVE-2024-21919、CVE-2024-21920、CVE-2024-21914
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。