一般社団法人Edgecrossコンソーシアムからの情報
脆弱性識別番号:JVNVU#92857077
脆弱性タイトル:Edgecross基本ソフトウェアWindows版における複数の脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
[[[ 概要 ]]]
⼀般社団法⼈Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版の以下の製品には、複数の脆弱性が存在します。
- Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.00以降
後述のCVE-2024-4229については、製品のインストール時に、管理者権限を持ったユーザのみに変更権限が与えられたフォルダ以外のフォルダを指定してインストールを⾏った場合にのみ、影響を受けます。
[[[ 脆弱性の説明 ]]]
⼀般社団法⼈Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、次の複数の脆弱性が存在します。
- インストール時の不適切なファイルアクセス権設定(CWE-276)-CVE-2024-4229
- ファイル名やパスの外部制御(CWE-73)-CVE-2024-4230
[[[ 脆弱性がもたらす脅威 ]]]
システム上で悪意のあるプログラムが実⾏され、情報を取得および改ざんされたり、サービス運⽤妨害(DoS)状態にされたりする可能性があります。
[[[ 対策方法 ]]]
リスクを最⼩限に抑えるため、以下の回避策の適⽤を推奨します。
[CVE-2024-4229]
- 当該製品をデフォルトのインストールフォルダへインストールするか、インストールフォルダの変更が必要な場合には、管理者権限を持ったユーザのみに変更権限が与えられたフォルダを、インストールフォルダとして指定する
[CVE-2024-4230]
- リアルタイムフローデザイナのプログラム実⾏フィードバック設定にてプログラムを指定する場合には、信頼できるファイルを指定する
[CVE-2024-4229、CVE-2024-4230]
- 当該製品を使⽤するパソコンをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防⽌したうえで、信頼できるユーザのみにリモートログインを許可する
- 当該製品を使⽤するパソコンをLAN内で使⽤し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
- 信頼できないファイル(特にプロジェクトファイル)を開いたり、信頼できないリンクをクリックしないようにする
