JVNVU#95214671
B&R製APROLにおける複数の脆弱性

B&Rが提供するAPROLには、複数の脆弱性が存在します。

CVE-2024-8313、CVE-2024-8314、CVE-2024-8315、CVE-2024-45480、CVE-2024-45481、CVE-2024-45482、CVE-2024-45483、CVE-2024-45484、CVE-2024-10206、CVE-2024-10207、CVE-2024-10208、CVE-2024-10209、CVE-2024-10210

• B&R APROL 4.4-01より前

• B&R APROL 4.4-00P1より前

• B&R APROL 4.4-00P5より前

B&Rが提供するAPROLには、次の複数の脆弱性が存在します。

• 信頼できない制御領域からの機能の組み込み（CWE-829）
  • CVE-2024-45482
• 特殊要素の不完全なフィルタリング（CWE-791）
  • CVE-2024-45481
• コードインジェクション（CWE-94）
  • CVE-2024-45480
• 不十分な認可や権限の不適切な取扱い（CWE-280）
  • CVE-2024-8315
• 制限または調整なしのリソースの割り当て（CWE-770）
  • CVE-2024-45484
• 重要な機能に対する認証の欠如（CWE-306）
  • CVE-2024-45483
• 認可されていない相手への機微なシステム情報の漏えい（CWE-497）
  • CVE-2024-8313
• 誤ったセッションへのデータ要素の漏えい（CWE-488）
  • CVE-2024-8314
• サーバサイドリクエストフォージェリ（CWE-918）
  • CVE-2024-10206、CVE-2024-10207
• クロスサイトスクリプティング（CWE-79）
  • CVE-2024-10208
• 外部から制御可能なファイル名やパス（CWE-73）
  • CVE-2024-10210
• 重要なリソースに対する不適切なアクセス権の割り当て（CWE-732）
  • CVE-2024-10209

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証済みのローカルの攻撃者によって、任意のコマンドを実行される（CVE-2024-45482）
• 認証済みのローカルの攻撃者が、別の正規ユーザーとして認証される（CVE-2024-45481）
• 遠隔の攻撃者によって、ローカルシステムからファイルを読み取られる（CVE-2024-45480）
• 認証済みのローカルの攻撃者によって、認証情報を読み取られる（CVE-2024-8315）
• 隣接するネットワーク上の攻撃者によって、当該製品をサービス運用妨害（DoS）状態にされる（CVE-2024-45484）
• 物理アクセス可能な攻撃者によって、オペレーティングシステムのブート設定を変更される（CVE-2024-45483）
• 隣接するネットワーク上の攻撃者によって、SNMPを使用して設定の読み取りおよび変更を行われる（CVE-2024-8313）
• 認証済みの遠隔の攻撃者によって、現在アクティブなユーザーセッションをログイン認証なしで乗っ取られる（CVE-2024-8314）
• 遠隔の攻撃者によって、Webサーバーに任意のURLをリクエストさせられる（CVE-2024-10206）
• 認証済みの遠隔の攻撃者によって、Webサーバーに任意のURLをリクエストさせられる（CVE-2024-10207）
• 認証済みの遠隔の攻撃者によって、任意のコードを挿入され、ユーザーのブラウザセッションのコンテキストで実行される（CVE-2024-10208）
• 認証済みの遠隔の攻撃者によって、ファイルシステムのデータにアクセスされる（CVE-2024-10210）
• 認証済みのローカルの攻撃者によって、別のエンジニアリングまたはランタイムユーザーの設定を読み取られたり、変更されたりする（CVE-2024-10209）

パッチを適用するかアップデートする
開発者は、パッチを適用するか脆弱性のないバージョンへのアップグレードを推奨しています。
詳細は、開発者が提供する情報を確認してください。