公開日:2025/11/21 最終更新日:2025/11/21

JVNVU#96081903
複数のFesto製品における複数の脆弱性

概要

Festoが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-3634

  • MSE6-C2M-5000-FB36-D-M-RG-BAR-M12L4-AGD すべてのバージョン
  • MSE6-C2M-5000-FB36-D-M-RG-BAR-M12L5-AGD すべてのバージョン
  • MSE6-C2M-5000-FB43-D-M-RG-BAR-M12L4-MQ1-AGD すべてのバージョン
  • MSE6-C2M-5000-FB43-D-M-RG-BAR-M12L5-MQ1-AGD すべてのバージョン
  • MSE6-C2M-5000-FB44-D-M-RG-BAR-AMI-AGD すべてのバージョン
  • MSE6-C2M-5000-FB44-D-RG-BAR-AMI-AGD すべてのバージョン
  • MSE6-D2M-5000-CBUS-S-RG-BAR- VCB-AGD すべてのバージョン
  • MSE6-E2M-5000-FB13-AGD すべてのバージョン
  • MSE6-E2M-5000-FB36-AGD すべてのバージョン
  • MSE6-E2M-5000-FB37-AGD すべてのバージョン
  • MSE6-E2M-5000-FB43-AGD すべてのバージョン
  • MSE6-E2M-5000-FB44-AGD すべてのバージョン
CVE-2023-26293
  • MES PC DELL XE3 バージョン TIA-Portal V18からV18Update1、TIA-Portal V15からV17Update6
  • TP260 <June2023 バージョン TIA-Portal V18からV18Update1、TIA-Portal V15からV17Update6

詳細情報

Festoが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 非公開機能を悪用される問題(CWE-912)
    • CVE-2023-3634
  • 不適切な入力検証(CWE-20)
    • CVE-2023-26293

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の低権限ユーザーによって機密性、完全性、可用性を侵害される(CVE-2023-3634)
  • 細工されたPCシステム構成ファイルをユーザーが開いた場合、任意のコードを実行される(CVE-2023-26293)

対策方法

アップデートする
CVE-2023-3634
開発者は、次期製品バージョンでユーザードキュメンテーションのアップデートを提供しています。
CVE-2023-26293
開発者は、Siemensが提供する情報(SSA-116924)を参照してTIA-Portalをアップデートすることを推奨しています。
詳細は、ICS AdvisoryまたはVDE CERTが提供する情報を確認してください。

ベンダ情報

ベンダ リンク
VDE CERT Festo: MSE6-C2M/D2M/E2M Incomplete User Documentation of Remote Accessible Functions
Festo: Vulnerable Siemens TIA-Portal in multiple Festo Didactic products
Siemens SSA-116924: Path Traversal Vulnerability in TIA Portal

参考情報

  1. ICS Advisory | ICSA-25-324-04
    Festo MSE6-C2M/D2M/E2M
  2. ICS Advisory | ICSA-25-324-05
    Festo Didactic products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia