公開日:2021/02/05 最終更新日:2021/03/10
JVNVU#93791310
複数の Luxion 製品に脆弱性
Luxion 社が提供する複数の製品には、複数の脆弱性が存在します。
- KeyShot 10.1 より前のバージョン
- KeyShot Viewer 10.1 より前のバージョン
- KeyShot Network Rendering 10.1 より前のバージョン
- KeyVR 10.1 より前のバージョン
Luxion 社が提供する KeyShot は、3DCAD のデータを用いて写真イメージおよびアニメーションを作成するソフトウェアです。
Luxion 社が提供する複数の製品には、次の複数の脆弱性が存在します。
- 境界外書き込み (CWE-787) - CVE-2021-22647
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 境界外読み取り (CWE-125) - CVE-2021-22643
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 危険な操作におけるUI上の不十分な警告 (CWE-357) - CVE-2021-22645
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 信頼性のないポインタ参照 (CWE-822) - CVE-2021-22649
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - パス・トラバーサル (CWE-22) - CVE-2021-22651
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- プロジェクトファイルを処理中に境域外書き込みが発生し、第三者によって任意のコードを実行される - CVE-2021-22647
- プロジェクトファイルを処理中に境域外読み取りが発生し、第三者によって任意のコードを実行される - CVE-2021-22643
- ネットワーク外の .dll ファイルを指定されている場合でも、.bip ファイルの load コマンド実行時に十分な警告が表示されないため、悪意のある .dll ファイルが実行される - CVE-2021-22645
- プロジェクトファイルを処理中に NULL ポインタ参照が発生し、第三者によって任意のコードを実行される - CVE-2021-22649
- 第三者によって作成された細工したファイルが読み込まれた場合、一時ファイル抽出処理時に任意のスクリプトを自動実行フォルダに格納される - CVE-2021-22651
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
| ベンダ | リンク |
| Luxion | Contact Us |
| Siemens | SSA-231216 (PDF) |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2021-22643 |
|
CVE-2021-22645 |
|
|
CVE-2021-22647 |
|
|
CVE-2021-22649 |
|
|
CVE-2021-22651 |
|
| JVN iPedia |
|
- 2021/03/10
- [ベンダ情報リンク] に Siemens のアドバイザリ (PDF) を追加しました。
