JVNVU#97128016
Emerson 製 Rosemount X-STREAM に複数の脆弱性

Emerson 社が提供する Rosemount X-STREAM には、複数の脆弱性が存在します。

以下の製品のすべてのバージョンに影響があります。

• X-STREAM enhanced XEGP
• X-STREAM enhanced XEGK
• X-STREAM enhanced XEFD
• X-STREAM enhanced XEXF

Emerson 社が提供する Rosemount X-STREAM は、ガス分析のためのソフトウェアです。Rosemount X-STREAM には、次の複数の脆弱性が存在します。

• 不適切な暗号強度 (CWE-326) - CVE-2021-27457

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-27459

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

  基本値: 7.1

• パストラバーサル (CWE-22) - CVE-2021-27461

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• 機微な情報を含む Cookie の永続的な使用 (CWE-539) - CVE-2021-27463

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

  基本値: 5.3

• クロスサイトスクリプティング (CWE-79) - CVE-2021-27465

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

  基本値: 5.3

• レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限 (CWE-1021) - CVE-2021-27467

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

  基本値: 5.4

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、認証情報を取得される - CVE-2021-27457
• 遠隔の第三者によって、任意のコードを実行される - CVE-2021-27459
• 遠隔の第三者によって、Web サーバに格納されている機微なデータにアクセスされる - CVE-2021-27461
• 遠隔の第三者によって、Cookie に格納されている機微な情報を取得される - CVE-2021-27463
• 遠隔の第三者によって Web ページが改ざんされ、不正なデータまたは意図しないデータが表示される - CVE-2021-27465
• 遠隔の第三者によって、ユーザが行ったクリックやキー入力を別のページに転送され、機微な情報を取得される - CVE-2021-27467

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。

加えて開発者は、製品ユーザーが継続的にサイバーセキュリティ業界のベストプラクティスを利用し、影響を受ける製品をインターネットから適切にセグメント化され十分に保護されたネットワークに接続することを推奨しています。