公開日:2023/11/22 最終更新日:2023/11/22

JVNVU#96020889
複数のWAGO製品における別領域リソースに対する外部からの制御可能な参照の脆弱性

概要

WAGOが提供する複数の製品には、別領域リソースに対する外部からの制御可能な参照の脆弱性が存在します。

影響を受けるシステム

  • Compact Controller CC100 FW19からFW26までのバージョン
  • Edge Controller FW18からFW26までのバージョン
  • PFC100 FW16からFW26までのバージョン
  • PFC200 FW16からFW26までのバージョン
  • Touch Panel 600 Advanced Line FW16からFW26までのバージョン
  • Touch Panel 600 Marine Line FW16からFW26までのバージョン
  • Touch Panel 600 Standard Line FW16からFW26までのバージョン

詳細情報

WAGOが提供する複数の製品には、次の脆弱性が存在します。

  • 別領域リソースに対する外部からの制御可能な参照 (CWE-610) - CVE-2023-4089

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 管理者権限を持つユーザによって、意図しない方法でファイルにアクセスされ、想定とは異なるログファイルにログが記録される

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、下記「参考情報」をご確認ください。

ベンダ情報

ベンダ リンク
WAGO WAGO Global | Reliable Solutions for Many Sectors and Industories

参考情報

  1. ICS Advisory | ICSA-23-325-01
    WAGO PFC200 Series
  2. VDE-2023-046 | CERT@VDE
    WAGO: Multiple products vulnerable to local file inclusion

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia