公開日:2021/01/12 最終更新日:2021/01/12

JVNVU#95231601
オムロン製 CX-One に複数の脆弱性

概要

オムロン株式会社が提供する CX-One には、複数の脆弱性が存在します。

影響を受けるシステム

次のアプリケーションを含む CX-One バージョン 4.60 およびそれ以前

  • CX-Protocol バージョン 2.02 およびそれ以前
  • CX-Server バージョン 5.0.28 およびそれ以前
  • CX-Position バージョン 2.52 およびそれ以前

詳細情報

オムロン株式会社が提供する CX-One には、複数の脆弱性が存在します。

  • 信頼できないポインタの参照 (CWE-822) - CVE-2020-27259
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L 基本値: 6.6
  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2020-27261
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 型の取り違え (CWE-843) - CVE-2020-27257
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L 基本値: 6.6

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって、任意のメモリポインタを参照され、リモートから任意のコードを実行される - CVE-2020-27259
  • 第三者によって、スタックベースのバッファオーバーフローが引き起こされ、リモートから任意のコードを実行される - CVE-2020-27261
  • 第三者によって、細工されたデータを入力され、任意のコードを実行される- CVE-2020-27257

対策方法

アップデートする
開発者が提供する情報をもとに、アップデートしてください。
対策済みバージョンは次の通りです。

  • CX-Protocol バージョン 2.03
  • CX-Server バージョン 5.0.29
  • CX-Position バージョン 2.53

ベンダ情報

ベンダ リンク
オムロン株式会社 CX-One バージョンアップ プログラム ダウンロード
CX-Protocol の更新内容 | Ver.2.03 : CX-Oneオートアップデート(V4向け_2021年1月)
共通モジュール の更新内容 | - :CX-Oneオートアップデート(V4向け_2021年1月)
CX-Position の更新内容 | Ver.2.53 : CX-Oneオートアップデート(V4向け_2021年1月)

参考情報

  1. ICS Advisory (ICSA-21-007-02)
    Omron CX-One

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-27257
CVE-2020-27259
CVE-2020-27261
JVN iPedia