公開日:2023/04/07 最終更新日:2023/04/07

JVNVU#92587640
Industrial Control Links製ScadaFlex II SCADA Controllersにおけるファイル名やパス名の外部制御の脆弱性

概要

Industrial Control Links社が提供するScadaFlex II SCADA Controllersには、ファイル名やパス名の外部制御の脆弱性が存在します。

影響を受けるシステム

  • SW 1.03.07(build 317)、WebLib 1.24
  • SW 1.02.20(build 286)、WebLib 1.24
  • SW 1.02.15(build 286)、WebLib 1.22
  • SW 1.02.01(build 229)、WebLib 1.16
  • SW 1.01.14(build 172)、WebLib 1.14
  • SW 1.01.01(build 2149)、WebLib 1.13

詳細情報

Industrial Control Links社が提供するScadaFlex II SCADA Controllersには、次の脆弱性が存在します。

  • ファイル名やパス名の外部制御 (CWE-73) - CVE-2022-25359

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、当該製品上のファイルを上書き、削除されたり、新たなファイルを作成されたりする

対策方法

製品の使用を停止する
当該製品の開発元は既に事業を終了しており、今後は継続的なサポートを受けることができない可能性があります。
恒久的な対策として、製品の使用を停止してください。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-23-096-01
    Industrial Control Links ScadaFlex II SCADA Controllers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia