公開日:2023/09/27 最終更新日:2023/09/27

JVNVU#99208910
Advantech製EKI-1524-CE シリーズなどにおける複数のクロスサイトスクリプティングの脆弱性

概要

Advantechが提供するEKI-1524-CE、EKI-1522-CEおよびEKI-1521-CE シリーズには、複数のクロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • EKI-1524-CE シリーズ バージョン1.24およびそれ以前
  • EKI-1522-CE シリーズ バージョン1.24およびそれ以前
  • EKI-1521-CE シリーズ バージョン1.24およびそれ以前

詳細情報

Advantechが提供するEKI-1524-CE、EKI-1522-CEおよびEKI-1521-CEシリーズには、次の複数の脆弱性が存在します。

  • 格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-4202、CVE-2023-4203

想定される影響

脆弱性を悪用された場合、低権限ユーザによって、次のような影響を受ける可能性があります。

  • 当該デバイスのバージョン1.21およびそれ以前において、Webインターフェイスのデバイス名フィールドを利用してスクリプトを実行される - CVE-2023-4202
  • 当該デバイスのバージョン1.24およびそれ以前において、Webインターフェイスのpingツールを利用してスクリプトを実行される - CVE-2023-4203

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Advantech Firmware for EKI-1524-CE/EKI-1524I-CE/EKI-1524CI-CE
Firmware for EKI-1522-CE/EKI-1522I-CE/EKI-1522CI-CE
Firmware for EKI-1521-CE/EKI-1521I-CE/EKI-1521CI-CE

参考情報

  1. ICS Advisory | ICSA-23-269-04
    Advantech EKI-1524-CE series

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia