公開日:2021/04/08 最終更新日:2021/04/08

JVNVU#90815335
Softing AG 製 OPC Toolbox における複数の脆弱性

概要

Softing AG が提供する OPC Toolbox には、複数の脆弱性が存在します。

影響を受けるシステム

  • CVE-2021-29660
    • OPC Toolbox v4.10.1.13035 およびそれ以前
  • CVE-2021-29661
    • OPC Toolbox v4.10.1.13035

詳細情報

Softing AG が提供する OPC Toolbox には、Web ユーザインターフェースに次の複数の脆弱性が存在します。

  • クロスサイトリクエストフォージェリ (CWE-352) - CVE-2020-29660
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L 基本値: 7.6
  • 格納型クロスサイトスクリプティング (CWE-79) - CVE-2021-29661
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 管理者権限を持つユーザが細工された URL にアクセスすることで、管理者のパスワードを変更される - CVE-2021-29660
  • 第三者によって任意のスクリプトをトレースファイルに書き込まれ、Trace のページにアクセスしたユーザの Web ブラウザ上で当該スクリプトが実行される - CVE-2021-29661

対策方法

2021年4月8日現在、本脆弱性への対策は提供されていません。

ベンダ情報

参考情報

  1. Gruppo TIM: Vulnerability Research & Advisor

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-29660
CVE-2021-29661
JVN iPedia