公開日:2022/10/07 最終更新日:2022/10/07

JVNVU#90214809
Rockwell Automation製FactoryTalk VantagePointにおける複数の脆弱性

概要

Rockwell Automation社が提供するFactoryTalk VantagePointには、複数の脆弱性が存在します。

影響を受けるシステム

  • FactoryTalk VantagePoint

詳細情報

Rockwell Automation社が提供するFactoryTalk VantagePointには、次の複数の脆弱性が存在します。

  • 不適切なアクセス制御 (CWE-284) - CVE-2022-38743
  • SQLインジェクション (CWE-89) - CVE-2022-3158

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 読み取り専用アクセス権限を持つユーザによって、バックエンドデータベース上で任意のSQLステートメントを実行される - CVE-2022-38743
  • 一般ユーザ権限を持つユーザによって、サーバ上で任意のコードを実行される - CVE-2022-3158

対策方法

アップデートする
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • FactoryTalk VantagePoint 8.00.00
  • FactoryTalk VantagePoint 8.10.00
  • FactoryTalk VantagePoint 8.20.00
  • FactoryTalk VantagePoint 8.30.00
  • FactoryTalk VantagePoint 8.31.00
ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Rockwell Automation Factory Talk VantagePoint Software Broken Access Control and Input Validation Vulnerability(要ログイン)
Downloads(8.00.00)
Downloads(8.10.00)
Downloads(8.20.00)
Downloads(8.30.00)
Downloads(8.31.00)

参考情報

  1. ICS Advisory (ICSA-22-279-01)
    Rockwell Automation FactoryTalk VantagePoint

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia