JVNVU#90014171
オムロン製 CX-Supervisor に複数の脆弱性

オムロン株式会社が提供する CX-Supervisor には、複数の脆弱性が存在します。

• CX-Supervisor version 3.42 およびそれ以前

オムロン株式会社が提供する CX-Supervisor には、次の複数の脆弱性が存在します。

• コードインジェクション (CWE-94) - CVE-2018-19011
  細工されたプロジェクトファイルを処理することで、アプリケーションの権限で任意のコードを実行される。

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H	基本値: 7.3
  CVSS v2	AV:L/AC:M/Au:S/C:C/I:C/A:C	基本値: 6.6

• コマンドインジェクション (CWE-77) - CVE-2018-19013
  細工されたプロジェクトファイルを処理することで、デバイス上のファイルやファイルの中身を削除される。

  CVSS v3	CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:H	基本値: 5.0
  CVSS v2	AV:L/AC:H/Au:S/C:N/I:P/A:C	基本値: 4.5

• コマンドインジェクション (CWE-77) - CVE-2018-19015
  細工されたプロジェクトファイルを処理することで、アプリケーションの権限でプログラムを実行され、デバイス上のファイルの作成、書き込み、読み込みなどが行われる。

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H	基本値: 7.3
  CVSS v2	AV:L/AC:M/Au:S/C:C/I:C/A:C	基本値: 6.6

• Use After Free (解放済みメモリの使用) (CWE-416) - CVE-2018-19017
  細工されたプロジェクトファイルを処理することで、アプリケーションの権限で任意のコードを実行される。

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H	基本値: 7.3
  CVSS v2	AV:L/AC:M/Au:S/C:C/I:C/A:C	基本値: 6.6

• Access of Resource Using Incompatible Type (型の取り違え) (CWE-843) - CVE-2018-19019
  細工されたプロジェクトファイルを処理することで、アプリケーションの権限で任意のコードを実行される。

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H	基本値: 7.3
  CVSS v2	AV:L/AC:M/Au:S/C:C/I:C/A:C	基本値: 6.6

• Access of Uninitialized Pointer (初期化されていないポインタのアクセス) (CWE-824) - CVE-2018-19018
  細工されたプロジェクトファイルを処理することで、アプリケーションの権限で任意のコードを実行される。

  CVSS v3	CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H	基本値: 6.7
  CVSS v2	AV:L/AC:H/Au:S/C:C/I:C/A:C	基本値: 6.0

• Out-of-bounds Read (境界外読み取り) (CWE-125) - CVE-2018-19020
  細工されたプロジェクトファイルを処理することで、アプリケーションが配列外の値を読み込む。

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N	基本値: 2.8
  CVSS v2	AV:L/AC:L/Au:S/C:P/I:N/A:N	基本値: 1.7

第三者によって、サービス運用妨害 (DoS) 攻撃を受けたり、アプリケーションの権限で任意のコードを実行されたりする可能性があります。

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。