公開日:2022/11/24 最終更新日:2022/11/24

JVNVU#95378145
GE Digital製CIMPLICITYにおける複数の脆弱性

概要

GE Digital社が提供するCIMPLICITYには、複数の脆弱性が存在します。

影響を受けるシステム

  • CIMPLICITY バージョン 2022およびそれ以前

詳細情報

GE Digital社が提供するCIMPLICITYは、HMI/SCADA向けソフトウェアです。CIMPLICITYには、次の複数の脆弱性が存在します。

  • 初期化していないポインタへのアクセス (CWE-824) - CVE-2022-3084、CVE-2022-2952
  • ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2022-2948
  • 信頼できないポインタ参照 (CWE-822) - CVE-2022-2002
  • 境界外書き込み (CWE-787) - CVE-2022-3092

想定される影響

いずれの脆弱性も悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの第三者によって、任意のコードを実行される

対策方法

ワークアラウンドを実施する
開発者は、CIMPLICITY Secure Deployment Guideの「Section 3.5 Projects」および「Section 4.2 CimView」などを参照し、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報をご確認ください。

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia