公開日:2022/12/14 最終更新日:2023/01/10
JVNVU#96873821
コンテック製CONPROSYS HMI System (CHS)における複数の脆弱性
株式会社コンテックが提供するCONPROSYS HMI System (CHS)には、複数の脆弱性が存在します。
CVE-2022-44456
- CONPROSYS HMI System (CHS) Ver.3.4.4およびそれ以前のバージョン
- CONPROSYS HMI System (CHS) Ver.3.4.5およびそれ以前のバージョン
株式会社コンテックが提供するCONPROSYS HMI System (CHS)には、次の複数の脆弱性が存在します。
- OSコマンドインジェクション (CWE-78) - CVE-2022-44456
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0 - デフォルト認証情報の使用 (CWE-1392) - CVE-2023-22331
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 7.5 - パスワードの代わりにパスワードハッシュを使用する認証 (CWE-836) - CVE-2023-22334
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 5.3 - クロスサイトスクリプティング (CWE-79) - CVE-2023-22373
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7 - アクセス制限不備 (CWE-284) - CVE-2023-22339
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
CVE-2022-44456
遠隔の第三者によって細工されたリクエストを送信されると、当該製品が動作するサーバ上で任意のOSコマンドを実行される可能性があります。
CVE-2023-22331
遠隔の第三者によって、認証情報を変更される可能性があります。
CVE-2023-22334
中間者攻撃(man-in-the-middle attack)によって、認証情報を取得される可能性があります。
CVE-2023-22373
当該製品の管理画面にログインしたユーザのウェブブラウザ上で任意のスクリプトを実行され、機微な情報を取得される可能性があります。
CVE-2023-22339
遠隔の第三者によって、当該製品の秘密鍵を含むサーバ証明書を取得される可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
-
ICS Advisory (ICSA-22-347-03)
Contec CONPROSYS HMI System (CHS)
この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
発見者: Radboud University Floris Hendriks 氏、Jeroen Wijenbergh 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2022-44456 |
CVE-2023-22331 |
|
CVE-2023-22334 |
|
CVE-2023-22373 |
|
CVE-2023-22339 |
|
JVN iPedia |
|
- 2023/01/10
- [タイトル]、[概要」、[影響を受けるシステム]、[詳細情報]、[想定される影響]、[ベンダ情報]、[参考情報]、[関連文書]を更新しました