JVNVU#94511327
Red Lion 製 Crimson 3.1 における複数の脆弱性

Red Lion が提供する Crimson 3.1 には、複数の脆弱性が存在します。

DA10D プロトコルコンバーター用の Crimson 3.1 について、次のバージョンが影響を受けます。

• Crimson 3.1 ビルドバージョン 3119.001 より前のバージョン

Crimson 3.1 は Red Lion が提供する CR1000、CR3000 HMIs、Graphite® HMIs および Graphite Controllers、E3 I/O™ モジュール用のプログラミングソフトウェアです。Red Lion が提供する Crimson 3.1 には、次の複数の脆弱性が存在します。

• NULL ポインタデリファレンス (CWE-476) - CVE-2020-27279

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 7.5

• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2020-27285

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

  基本値: 6.5

• リソースの不適切なシャットダウンおよびリリース (CWE-404) - CVE-2020-27283

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

  基本値: 4.3

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者により、細工したパケットを送られ、装置を再起動させられる - CVE-2020-27279
• 遠隔の第三者により、データベースの情報を窃取されたり、改ざんされる - CVE-2020-27285
• 第三者により、細工したメッセージを送られ、任意のメモリ位置に書き込まれた情報を窃取される - CVE-2020-27283

アップデートする
開発者が提供する情報をもとに、アップデートしてください。
詳細は開発者が提供する情報を確認してください。