公開日:2023/01/25 最終更新日:2023/01/25

JVNVU#90657051
XINJE製XD/E Series PLC Program Toolにおける複数の脆弱性

概要

XINJE社が提供するXD/E Series PLC Program Toolには、複数の脆弱性が存在します。

影響を受けるシステム

  • XD/E Series PLC Program Tool v3.5.1以前のバージョン

詳細情報

XINJE社が提供するXD/E Series PLC Program Toolには、次の複数の脆弱性が存在します。

  • 相対パストラバーサル (CWE-23) - CVE-2021-34605
  • ファイル検索パスの制御不備 (CWE-427) - CVE-2021-34606

想定される影響

脆弱性を悪用された場合、ローカルの低権限ユーザによって次のような影響を受ける可能性があります。

  • 特別に細工されたプロジェクトファイルを手動で開いたり、細工されたプロジェクトファイルが既に書き込まれているXINJE PLCからのプログラムアップロードを実行すると、任意のコード実行、情報漏えい、およびサービス運用妨害(DoS)状態が発生する - CVE-2021-34605
  • 悪意のあるDLLをロードされ、別のユーザーアカウント権限で任意のコードを実行される - CVE-2021-34606

対策方法

2023年1月25日時点では、本脆弱性に対するアップデートは提供されていません。

ベンダ情報

ベンダ リンク
XINJE Technical Support

参考情報

  1. ICS Advisory (ICSA-23-024-01)
    XINJE XD
  2. From Project File to Code Execution: Exploiting Vulnerabilities in XINJE PLC Program Tool | Claroty

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia