公開日:2022/08/25 最終更新日:2022/08/25

JVNVU#98548286
ARC Informatique製PcVueにおける重要な情報の平文保存の脆弱性

概要

ARC Informatique社が提供するPcVueには重要な情報の平文保存の脆弱性が存在します。

影響を受けるシステム

  • PcVue 12 OAuth web service configuration
  • PcVue 15 OAuth web service configuration

詳細情報

ARC Informatique社が提供するPcVueには次の脆弱性が存在します。

  • 重要な情報の平文保存の脆弱性 (CWE-312) - CVE-2022-2569

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品にログイン可能なユーザによって、OAuthデータベースに保存された正規ユーザのセッションデータを窃取される

対策方法

アップデートする

PcVue 12ユーザ向け:
開発者により修正バージョンであるMaintenance release 12.0.27が提供されています。
修正バージョンをインストールした後、製品のWeb Deployment Console(WDC)をアップデートし、Webサーバを再デプロイする必要があります。

PcVue 15ユーザ向け:
2022年8月24日現在、対策バージョンは提供されていません。
開発者によると、近日中に対策バージョンをリリース予定とのことです。

詳細は開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
ARC Informatique Technical Resources
Security Alerts
Hotline & Services
SB2022-4(要ログイン)

参考情報

  1. ICS Advisory (ICSA-22-235-01)
    ARC Informatique PcVue

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia