公開日:2023/10/18 最終更新日:2023/10/18

JVNVU#95781217
Schneider Electric製EcoStruxure Power Monitoring ExpertおよびPower Operationにおける信頼できないデータのデシリアライゼーションの脆弱性

概要

Schneider Electricが提供するEcoStruxure Power Monitoring ExpertおよびPower Operation製品には、信頼できないデータのデシリアライゼーションの脆弱性が存在します。

影響を受けるシステム

  • EcoStruxure Power Monitoring Expert Hotfix-145271より前のすべてのバージョン
  • EcoStruxure Power Operation with Advanced Reports Hotfix-145271より前のすべてのバージョン
  • EcoStruxure Power SCADA Operation with Advanced Reports Hotfix-145271より前のすべてのバージョン
Advanced Reports無しのPower SCADA OperationおよびPower Operationは、本脆弱性の影響を受けないとのことです。

詳細情報

Schneider Electricが提供するEcoStruxure Power Monitoring ExpertおよびPower Operation製品には、次の脆弱性が存在します。

  • 信頼できないデータのデシリアライゼーション (CWE-502) - CVE-2023-5391

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 特別に細工したパケットを当該アプリケーションに送信された場合、任意のコードを実行される

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Schneider Electric Schneider Electric Security Notification EcoStruxure Power Monitoring Expert and EcoStruxure Power Operation with Advanced Reports(PDF)
Recommended Cybersecurity Best Practices
Contact Support

参考情報

  1. ICS Advisory | ICSA-23-290-01
    Schneider Electric EcoStruxure Power Monitoring Expert and Power Operation Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/10/18
[タイトル]を更新しました