JVNVU#91146744
複数のRockwell Automation製品における複数の脆弱性

Rockwell Automationが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-37287

• Verve Reporting V1.39より前のバージョン

• FactoryTalk Updater - Web Client V4.00.00から4.10.00

• FactoryTalk Updater - Client 4.20.00より前のすべてのバージョン

• FactoryTalk Updater - Agent 4.20.00より前のすべてのバージョン

• Arena Input Analyzer 16.20.03およびそれ以前のバージョン

Rockwell Automationが提供する複数の製品には、次の複数の脆弱性が存在します。

• 脆弱なサードパーティ製コンポーネントへの依存（CWE-1395）－CVE-2024-37287
• 保存された機微な情報に対するアクセス権設定の不備（CWE-922）－CVE-2024-10943
• 不適切な入力検証（CWE-20）－CVE-2024-10944
• 規定されたセキュリティチェックの実装が不適切（CWE-358）－CVE-2024-10945
• 数値の入力に対する不適切な検証（CWE-1284）－CVE-2024-6068

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• MLやAlerting接続機能へのアクセスや内部MLへの書き込みが可能な攻撃者によって、プロトタイプ汚染の脆弱性を誘発され、結果として任意のコード実行がされる（CVE-2024-37287）
• 攻撃者が認証に必要な追加情報を列挙できる場合、ユーザーになりすまされる（CVE-2024-10943）
• 高権限ユーザーによって、悪意のあるUpdated Agentを展開され、任意のコードを実行される（CVE-2024-10944）
• 低権限ユーザーによって、当該製品のアップデート中にファイルを置き換えられ、権限昇格される（CVE-2024-10945）
• 悪意のあるDFTファイルを正当なユーザーが開くことで、情報漏えいや任意のコード実行がされる（CVE-2024-6068）

CVE-2024-37287
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供するセキュリティアドバイザリ SD1712を確認してください。

CVE-2024-10943、CVE-2024-10944、CVE-2024-10945
アップデートする
開発者は、本脆弱性に対応したバージョン V4.20.00 を提供しています。
また、FactoryTalk Updater - Clientを使用しているユーザーへは軽減策の適用も推奨しています。
詳細は、開発者が提供するセキュリティアドバイザリ SD201710を確認してください。

CVE-2024-6068
アップデートする
開発者は、本脆弱性に対応したバージョン 16.20.04 を提供しています。
詳細は、開発者が提供するセキュリティアドバイザリ SD1711を確認してください。