公開日:2025/04/04 最終更新日:2025/04/04
JVNVU#95214671
B&R製APROLにおける複数の脆弱性
B&Rが提供するAPROLには、複数の脆弱性が存在します。
CVE-2024-8313、CVE-2024-8314、CVE-2024-8315、CVE-2024-45480、CVE-2024-45481、CVE-2024-45482、CVE-2024-45483、CVE-2024-45484、CVE-2024-10206、CVE-2024-10207、CVE-2024-10208、CVE-2024-10209、CVE-2024-10210
- B&R APROL 4.4-01より前
- B&R APROL 4.4-00P1より前
- B&R APROL 4.4-00P5より前
B&Rが提供するAPROLには、次の複数の脆弱性が存在します。
- 信頼できない制御領域からの機能の組み込み(CWE-829)
- CVE-2024-45482
- 特殊要素の不完全なフィルタリング(CWE-791)
- CVE-2024-45481
- コードインジェクション(CWE-94)
- CVE-2024-45480
- 不十分な認可や権限の不適切な取扱い(CWE-280)
- CVE-2024-8315
- 制限または調整なしのリソースの割り当て(CWE-770)
- CVE-2024-45484
- 重要な機能に対する認証の欠如(CWE-306)
- CVE-2024-45483
- 認可されていない相手への機微なシステム情報の漏えい(CWE-497)
- CVE-2024-8313
- 誤ったセッションへのデータ要素の漏えい(CWE-488)
- CVE-2024-8314
- サーバサイドリクエストフォージェリ(CWE-918)
- CVE-2024-10206、CVE-2024-10207
- クロスサイトスクリプティング(CWE-79)
- CVE-2024-10208
- 外部から制御可能なファイル名やパス(CWE-73)
- CVE-2024-10210
- 重要なリソースに対する不適切なアクセス権の割り当て(CWE-732)
- CVE-2024-10209
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 認証済みのローカルの攻撃者によって、任意のコマンドを実行される(CVE-2024-45482)
- 認証済みのローカルの攻撃者が、別の正規ユーザーとして認証される(CVE-2024-45481)
- 遠隔の攻撃者によって、ローカルシステムからファイルを読み取られる(CVE-2024-45480)
- 認証済みのローカルの攻撃者によって、認証情報を読み取られる(CVE-2024-8315)
- 隣接するネットワーク上の攻撃者によって、当該製品をサービス運用妨害(DoS)状態にされる(CVE-2024-45484)
- 物理アクセス可能な攻撃者によって、オペレーティングシステムのブート設定を変更される(CVE-2024-45483)
- 隣接するネットワーク上の攻撃者によって、SNMPを使用して設定の読み取りおよび変更を行われる(CVE-2024-8313)
- 認証済みの遠隔の攻撃者によって、現在アクティブなユーザーセッションをログイン認証なしで乗っ取られる(CVE-2024-8314)
- 遠隔の攻撃者によって、Webサーバーに任意のURLをリクエストさせられる(CVE-2024-10206)
- 認証済みの遠隔の攻撃者によって、Webサーバーに任意のURLをリクエストさせられる(CVE-2024-10207)
- 認証済みの遠隔の攻撃者によって、任意のコードを挿入され、ユーザーのブラウザセッションのコンテキストで実行される(CVE-2024-10208)
- 認証済みの遠隔の攻撃者によって、ファイルシステムのデータにアクセスされる(CVE-2024-10210)
- 認証済みのローカルの攻撃者によって、別のエンジニアリングまたはランタイムユーザーの設定を読み取られたり、変更されたりする(CVE-2024-10209)
パッチを適用するかアップデートする
開発者は、パッチを適用するか脆弱性のないバージョンへのアップグレードを推奨しています。
詳細は、開発者が提供する情報を確認してください。