公開日:2025/07/02 最終更新日:2025/07/02
JVNVU#97192309
複数のFesto Didactic製品およびFesto製品における複数の脆弱性
Festo DidacticおよびFestoが提供する複数の製品には、複数の脆弱性が存在します。
CVE-2020-15782
- Siemens Simatic S7-1500 / ET200SP installed on FESTO Didactic CP including S7 PLC V2.9.2より前のバージョン
- Siemens Simatic S7-1500 / ET200SP installed on FESTO Didactic MPS 200 Systems V2.9.2より前のバージョン
- Siemens Simatic S7-1500 / ET200SP installed on FESTO Didactic MPS 400 Systems V2.9.2より前のバージョン
CVE-2023-3935
- CIROS 6 Studio / Education 6.0.0から6.4.6まで
- CIROS 7 Studio / Education 7.0.0から7.1.7まで
- Festo Automation Suite 2.6.0.481およびそれ以前のバージョン
- FluidDraw 365 7.0aおよびそれ以前のバージョン
- FluidDraw P6 6.2kおよびそれ以前のバージョン
- FluidSIM バージョン 5.x
- FluidSIM 6から6.1cまで
- MES PC December 2023より前のバージョン
CVE-2022-31802
- CODESYS Gateway Server V2 V2.3.9.38より前のバージョン
- CODESYS Gateway Server V2 すべてのバージョン
CVE-2022-30311、CVE-2022-30310、CVE-2022-30309、CVE-2022-30308
- Controller CECC-X-M1 バージョン 3.8.14およびそれ以前のバージョン
- Controller CECC-X-M1 バージョン 4.0.14
- Controller CECC-X-M1-MV 3.8.14およびそれ以前のバージョン
- Controller CECC-X-M1-MV バージョン 4.0.14
- Controller CECC-X-M1-MV-S1 3.8.14およびそれ以前のバージョン
- Controller CECC-X-M1-MV-S1 バージョン 4.0.14
- Controller CECC-X-M1-YS-L1 3.8.14およびそれ以前のバージョン
- Controller CECC-X-M1-YS-L2 3.8.14およびそれ以前のバージョン
- Controller CECC-X-M1-Y-YJKP 3.8.14およびそれ以前のバージョン
- Servo Press Kit YJKP 3.8.14およびそれ以前のバージョン
- Servo Press Kit YJKP- 3.8.14およびそれ以前のバージョン
Festo DidacticおよびFestoが提供する複数の製品には、次の複数の脆弱性が存在します。
- メモリバッファ―エラー(CWE-119)
- CVE-2020-15782
- 当該製品に使用されているSiemens製品で検出された脆弱性
- 境界外書き込み(CWE-787)
- CVE-2023-3935
- 部分的な文字列の比較(CWE-187)
- CVE-2022-31802
- リソースの枯渇(CWE-400)
- CVE-2022-31803
- 過剰なサイズのメモリ割り当て(CWE-789)
- CVE-2022-31804
- OSコマンドインジェクション(CWE-78)
- CVE-2022-30311、CVE-2022-30310、CVE-2022-30309、CVE-2022-30308
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 保護されたメモリ領域に任意のデータやコードを書き込まれたり、機微なデータを取得されたりする(CVE-2020-15782)
- ネットワーク経由で当該サーバーへの完全なアクセス権を取得される(CVE-2023-3935)
- 正しいパスワードの一部を指定することで認証可能となる(CVE-2022-31802)
- 利用可能なすべてのTCP接続を消費され、正当なユーザーまたはクライアントの新たな接続をできなくされる(CVE-2022-31803)
- メモリ不足を起こされ、当該製品をクラッシュされる(CVE-2022-31804)
- root権限でシステムコマンドを実行される(CVE-2022-30311、CVE-2022-30310、CVE-2022-30309、CVE-2022-30308)
CVE-2020-15782、CVE-2023-3935、CVE-2022-30311、CVE-2022-30310、CVE-2022-30309、CVE-2022-30308
アップデートする
開発者は、アップデートを提供しています。
CVE-2022-31802、CVE-2022-31803、CVE-2022-31804
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、CERT@VDEが提供する情報を確認してください。
ベンダ | リンク |
Festo Didactic | Technical support |
Festo | コンタクトフォーム |
-
ICS Advisory | ICSA-25-182-01
FESTO Didactic CP, MPS 200, and MPS 400 Firmware -
VDE CERT | VDE-2024-055
Festo: Siemens S7-1500/ET200SP CPU used in Festo Didactic products contain a memory protection bypass vulnerability -
ICS Advisory | ICSA-25-182-02
FESTO Automation Suite, FluidDraw, and Festo Didactic Products -
VDE CERT | VDE-2023-036
FESTO: Multiple products affected by WIBU Codemeter vulnerability -
ICS Advisory | ICSA-25-182-03
FESTO CODESYS -
VDE CERT | VDE-2024-059
Festo: Several Codesys Gateway v2 vulnerabilities in Codesys provided by Festo -
ICS Advisory | ICSA-25-182-04
FESTO Hardware Controller, Hardware Servo Press Kit -
VDE CERT | VDE-2022-020
Festo: CECC-X-M1 - command injection vulnerabilities