JVNVU#99338807
Delta Electronics製DIAEnergieにおける複数の脆弱性

Delta Electronics社が提供するDIAEnergieには、複数の脆弱性が存在します。

• DIAEnergie 1.9より前のすべてのバージョン

Delta Electronics社が提供するDIAEnergieには、次の複数の脆弱性が存在します。

• パストラバーサル (CWE-37) - CVE-2022-25347

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• インストール時の不適切なファイルアクセス権設定 (CWE-276) - CVE-2022-26839

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.8

• SQLインジェクション (CWE-89) - CVE-2022-25980、CVE-2022-26069、CVE-2022-27175、CVE-2022-26338、CVE-2022-26059、CVE-2022-26065、CVE-2022-26013、CVE-2022-26836、CVE-2022-0923、CVE-2022-26666、CVE-2022-26887、CVE-2022-26349、CVE-2022-25880、CVE-2022-26514、CVE-2022-26667、CVE-2022-1366、CVE-2022-1367、CVE-2022-1378、CVE-2022-1377、CVE-2022-1376、CVE-2022-1375、CVE-2022-1374、CVE-2022-1372、CVE-2022-1371、CVE-2022-1370、CVE-2022-1369

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• ファイル検索パスの制御不備 (CWE-427) - CVE-2022-1098

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、ファイルシステム上の任意のファイルに書き込みをされる - CVE-2022-25347
• ユーザによって、本来保護すべきディレクトリにDLLなどの新規ファイルを配置されたり、実行ファイルを置き換えられたりする - CVE-2022-26839
• 遠隔の第三者によって、任意のSQLクエリを挿入され、データベースの内容の取得および変更、システムコマンドの実行をされる - CVE-2022-25980、CVE-2022-26069、CVE-2022-27175、CVE-2022-26338、CVE-2022-26059、CVE-2022-26065、CVE-2022-26013、CVE-2022-26836、CVE-2022-0923、CVE-2022-26666、CVE-2022-26887、CVE-2022-26349、CVE-2022-25880、CVE-2022-26514、CVE-2022-26667、CVE-2022-1366、CVE-2022-1367、CVE-2022-1378、CVE-2022-1377、CVE-2022-1376、CVE-2022-1375、CVE-2022-1374、CVE-2022-1372、CVE-2022-1371、CVE-2022-1370、CVE-2022-1369
• ローカルのユーザによって、権限昇格される - CVE-2022-1098

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• DIAEnergie バージョン1.9

• 制御システムデバイスおよびシステムにインターネットからのアクセスを制限する
• ファイアウォールで保護している制御システムネットワークおよびリモートデバイスをビジネスネットワークから分離する
• 「パストラバーサル」および「SQLインジェクション」を悪用する攻撃を検出できるアプリケーションファイアウォールを使用する
• 対象のデバイス用のネットワーク以外のネットワークにプログラミングソフトウェアを接続しない
• リモートアクセスが必要な場合、VPNなどの安全な方法を利用する