公開日:2021/01/06 最終更新日:2021/01/06

JVNVU#91044574
Delta Electronics 製 HMI ソフトウェアに複数の脆弱性

概要

Delta Electronics が提供する DOPSoft および CNCSoft ScreenEditor には複数の脆弱性が存在します。

影響を受けるシステム

  • DOPSoft Version 4.0.8.21 およびそれ以前
  • CNCSoft ScreenEditor Version 1.01.26 およびそれ以前

詳細情報

Delta Electronics が提供する HMI 関連製品 DOPSoft および CNCSoft ScreenEditor には次の複数の脆弱性が存在します。

DOPSoft

  • 境界外書き込み (CWE-787) - CVE-2020-27275
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 信頼できないポインタ参照 (CWE-822) - CVE-2020-27277
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

CNCSoft ScreenEditor

  • バッファオーバーフロー (CWE-121) - CVE-2020-27281
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

いずれの脆弱性も、細工されたプロジェクトファイルを処理することにより任意のコードが実行される可能性があります。

対策方法

アップデートする

DOPSoft

  • Version 4.00.10.17 以降にアップデートしてください
    • アップデート以前に保存したプロジェクトファイルを最新版で開いた後、新たに別ファイルとして保存し古いファイルを破棄してください
CNCSoft ScreenEditor
  • Version 1.01.28 以降にアップデートしてください

ベンダ情報

ベンダ リンク
CNCSoft - Delta | Download Center
Delta Electronics DOPSoft - Delta | Download Center

参考情報

  1. ICS Advisory (ICSA-21-005-05)
    Delta Electronics DOPSoft
  2. ICS Advisory (ICSA-21-005-06)
    Delta Electronics CNCSoft ScreenEditor

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-27275
CVE-2020-27277
CVE-2020-27281
JVN iPedia