JVNVU#91918160
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-9005

• EcoStruxure Power Monitoring Expert (PME) バージョン2022およびそれ以前

• EcoStruxure Control Expert V16.1より前のバージョン
• EcoStruxure Process Expert 2023(v4.8.0.5715)より前のバージョン
• EcoStruxure Process Expert for AVEVA System Platform すべてのバージョン
• EcoStruxure OPC UA Server Expert すべてのバージョン
• EcoStruxure Control Expert Asset Link V4.0 SP1より前のバージョン
• EcoStruxure Machine SCADA Expert Asset Link すべてのバージョン
• EcoStruxure Architecture Builder V7.0.18より前のバージョン
• EcoStruxure Operator Terminal Expert すべてのバージョン
• Vijeo Designer V6.3SP1 HF1より前のバージョン
• EcoStruxure Machine Expert including EcoStruxure Machine Expert Safety すべてのバージョン
• EcoStruxure Machine Expert Twin すべてのバージョン
• Zelio Soft 2 すべてのバージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 信頼できないデータのデシリアライゼーション（CWE-502）
  • CVE-2024-9005
• ファイル検索パスの制御不備（CWE-427）
  • CVE-2024-2658

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• サーバー上で任意のコードをリモート実行される（CVE-2024-9005）
• 権限の低いローカル認証ユーザーによって特別に細工されたopenssl.confファイルを読み込まれ、悪意のあるDLLを実行される（CVE-2024-2658）

CVE-2024-9005
Hotfixを適用する
開発者は、Hotfixを提供しています。

後継製品に移行する
開発者によると、EcoStruxure Power Monitoring Expert 2021およびそれ以前のバージョンはサポートを終了しているとのことであり、後継製品への移行を検討してください。

CVE-2024-2658
アップデートを適用する
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデート提供を予定している製品については、提供まではワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。