公開日:2024/05/24 最終更新日:2024/05/24
JVNVU#96926054
AutomationDirect製Productivity PLC製品における複数の脆弱性
AutomationDirectが提供するProductivity PLC製品には、複数の脆弱性が存在します。
- Productivity 3000 P3-550E CPU FWバージョン 1.2.10.9
- Productivity 3000 P3-550E CPU SWバージョン 4.1.1.10
- Productivity 3000 P3-550 CPU FWバージョン 1.2.10.9
- Productivity 3000 P3-550 CPU SWバージョン 4.1.1.10
- Productivity 3000 P3-530 CPU FWバージョン 1.2.10.9
- Productivity 3000 P3-530 CPU SWバージョン 4.1.1.10
- Productivity 2000 P2-550 CPU FWバージョン 1.2.10.10
- Productivity 2000 P2-550 CPU SWバージョン 4.1.1.10
- Productivity 1000 P1-550 CPU FWバージョン 1.2.10.10
- Productivity 1000 P1-550 CPU SWバージョン 4.1.1.10
- Productivity 1000 P1-540 CPU FWバージョン 1.2.10.10
- Productivity 1000 P1-540 CPU SWバージョン 4.1.1.10
AutomationDirectが提供するProductivity PLC製品には、次の複数の脆弱性が存在します。
- 不適切な長さの値によるバッファへのアクセス(CWE-805)-CVE-2024-24851
- 境界外書き込み(CWE-787)-CVE-2024-24946、CVE-2024-24947、CVE-2024-24954、CVE-2024-24955、CVE-2024-24956、CVE-2024-24957、CVE-2024-24958、CVE-2024-24959
- スタックベースのバッファオーバーフロー(CWE-121)-CVE-2024-24962、CVE-2024-24963
- 不適切なアクセス制御(CWE-284)-CVE-2024-22187、CVE-2024-23315
- 利用可能なデバッグ機能(CWE-489)-CVE-2024-21785
- データの信頼性確認が不十分(CWE-345)-CVE-2024-23601
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 細工されたパケットを送信され、バッファオーバーフローを引き起こされる(CVE-2024-24851、CVE-2024-24962、CVE-2024-24963)
- 細工されたパケットを送信され、サービス運用妨害(DoS)状態にされる(CVE-2024-24946、CVE-2024-24947)
- 細工されたパケットを送信され、ヒープベースのメモリ破損を引き起こされる(CVE-2024-24954、CVE-2024-24955、CVE-2024-24956、CVE-2024-24957、CVE-2024-24958、CVE-2024-24959)
- 細工されたパケットを送信され、任意の書き込みをされる(CVE-2024-22187)
- 細工されたパケットを送信され、機微な情報を窃取される(CVE-2024-23315)
- 細工されたリクエストを送信され、当該製品に不正にアクセスされる(CVE-2024-21785)
- 細工された
scan_lib.binを利用して、任意のコードを実行される(CVE-2024-23601)
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報をご確認ください。
