JVNVU#96999992
xArrow Software製xArrowにおける複数の脆弱性

xArrow Software社が提供するxArrowには、複数の脆弱性が存在します。

• xArrow バージョン7.2およびそれ以前

xArrow Software社が提供するxArrowは、SCADA/HMIソフトウェアです。
xArrowには、次の複数の脆弱性が存在します。

• クロスサイトスクリプティング（CWE-79） - CVE-2021-33001、CVE-2021-33021

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

  基本値: 6.1

• パストラバーサル（CWE-22） - CVE-2021-33025

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N

  基本値: 5.6

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、任意のコードを実行される - CVE-2021-33001、CVE-2021-33021
• 第三者によって、検証されていないレジストリキーをアプリケーションレベルの権限で実行される - CVE-2021-33025

2021年8月18日現在、対策方法はありません。
詳細は、開発者のカスタマーサポートにお問い合わせください。