JVNVU#93292753
Advantech 製 WebAccess Node に複数の脆弱性

Advantech が提供する WebAccess Node には、複数の脆弱性が存在します。

・WebAccess Node Version 8.4.4 およびそれ以前
・WebAccess Node Version 9.0.0

WebAccess Node は、Advantech が提供する産業用ソフトウエアです。WebAccess Node には以下の複数の脆弱性が存在します。

• 配列インデックスの不適切な検証 (CWE-129)  - CVE-2020-12022

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 相対的パストラバーサル (CWE-23)  - CVE-2020-12010

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H

  基本値: 6.3

• 相対的パストラバーサル (CWE-23)  - CVE-2020-12006

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.8

• 相対的パストラバーサル (CWE-23)  - CVE-2020-12026

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.0

• SQL インジェクション (CWE-89)  - CVE-2020-12014

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• スタックベースのバッファオーバーフロー (CWE-121)  - CVE-2020-12002

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• ヒープベースのバッファオーバーフロー (CWE-122)  - CVE-2020-12638

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 境界外読み取り (CWE-125)  - CVE-2020-12018

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

  基本値: 6.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、細工された入力をメモリ領域に挿入され、実行される - CVE-2020-12022
• 認証されたユーザによって、細工されたファイルを使用してアプリケーションの制御外にあるファイルが削除される - CVE-2020-12010
• 遠隔の第三者によって、アプリケーションの制御外にあるファイルが上書きされる - CVE-2020-12006
• 低い権限しか与えられていないユーザによって、アプリケーションの制御外にあるファイルが上書きされる - CVE-2020-12026
• 遠隔の第三者によって、SQL 文を挿入され、情報が漏えいする  - CVE-2020-12014
• 遠隔の第三者によって、任意のコードが実行される - CVE-2020-12002,CVE-2020-12638
• 遠隔の第三者によって、許可されていないデータにアクセスされる - CVE-2020-12018

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。