公開日:2022/07/01 最終更新日:2022/07/01

JVNVU#96811056
Distributed Data Systems製WebHMIにおける複数の脆弱性

概要

Distributed Data Systems社が提供するWebHMIには、複数の脆弱性が存在します。

影響を受けるシステム

  • WebHMI 4.1.1.7662
なお、開発者はWebHMI 4.1.1.7662以前のバージョンについても脆弱性の影響を受ける可能性があると報告しています。

詳細情報

Distributed Data Systems社が提供するWebHMIには、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング (CWE-79) - CVE-2022-2254
  • OSコマンドインジェクション (CWE-78) - CVE-2022-2253

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の管理者権限を持つユーザによって、他のログインユーザに影響する可能性のあるスクリプトを保存される - CVE-2022-2254
  • 遠隔の管理者権限を持つユーザによって、OSコマンドを送信されホストサーバで実行される - CVE-2022-2253

対策方法

開発者に問い合わせる
本脆弱性の詳細や対策に関しては、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
Distributed Data Systems webhmi Contacts

参考情報

  1. ICS Advisory (ICSA-22-181-04)
    Distributed Data Systems WebHMI

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia