JVNVU#93626160
複数のFATEK Automation製品に複数の脆弱性

複数のFATEK Automation製品には、複数の脆弱性が存在します。

CVE-2021-38438、CVE-2021-38426、CVE-2021-38434、CVE-2021-38430、CVE-2021-38436、CVE-2021-38442、CVE-2021-38440

• WinProladder バージョン3.30およびそれ以前

• Communication Server バージョン1.13およびそれ以前

FATEK Automation社が提供する複数の製品には、次の脆弱性が存在します。

• 解放済みメモリの使用（Use-after-free）（CWE-416） - CVE-2021-38438

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 境界外書き込み（CWE-787） - CVE-2021-38426

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 予期しない符号拡張（CWE-194） - CVE-2021-38434

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• スタックベースのバッファオーバーフロー（CWE-121） - CVE-2021-38430

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• メモリバッファの境界における不適切な操作制限（CWE-119） - CVE-2021-38436、CVE-2021-38442

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 境界外読み取り（CWE-125） - CVE-2021-38440

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

  基本値: 3.3

• スタックベースのバッファオーバーフロー（CWE-121） - CVE-2021-38432

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 細工されたプロジェクトファイルを処理することにより、任意のコードが実行される - CVE-2021-38438、CVE-2021-38426、CVE-2021-38434、CVE-2021-38430、CVE-2021-38436、CVE-2021-38442
• 第三者により、認可されていない情報を読み取られる - CVE-2021-38440
• 遠隔の第三者により、任意のコードが実行される - CVE-2021-38432

2021年10月8日現在、対策方法はありません。
詳細は、開発者のカスタマーサポートにお問い合わせください。