公開日:2022/03/30 最終更新日:2022/03/30

JVNVU#96756124
オムロン製CX-Positionにおける複数の脆弱性

概要

オムロン株式会社が提供するCX-Positionには、複数の脆弱性が存在します。

影響を受けるシステム

  • CX-Position Version2.5.3および以前

詳細情報

オムロン株式会社が提供するCX-Positionには、次の複数の脆弱性が存在します。

  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2022-26419
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • メモリバッファエラー (CWE-119) - CVE-2022-25959
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 解放済みメモリの使用 (CWE-416) - CVE-2022-26417
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境域外書き込み (CWE-787) - CVE-2022-26022
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

ローカルの第三者によって、特定のプロジェクトファイルを処理されることで任意のコードが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、アップデートしてください。
開発者は本脆弱性を修正した以下のバージョンを公開しています。

  • CX-Position Version2.5.4
なお、本アップデートは「Auto Update」機能を利用する有償ユーザーに限定して提供されるとのことです。
詳細はテクニカルサポートにお問い合わせください。

ベンダ情報

ベンダ リンク
オムロン株式会社 CX-One バージョンアップ プログラム ダウンロード
Technical Support

参考情報

  1. ICS Advisory (ICSA-22-088-02)
    Omron CX-Position

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/03/30
[想定される影響]の表記を修正しました