公開日:2023/12/06 最終更新日:2024/11/28
JVNVU#97256167
複数のCODESYS Control製品におけるOSコマンドインジェクションの脆弱性
CODESYS GmbHが提供する複数のCODESYS Control製品には、OSコマンドインジェクションの脆弱性が存在します。
- CODESYS Control for BeagleBone SL 4.11.0.0より前のバージョン
- CODESYS Control for emPC-A/iMX6 SL 4.11.0.0より前のバージョン
- CODESYS Control for IOT2000 SL 4.11.0.0より前のバージョン
- CODESYS Control for Linux ARM SL 4.11.0.0より前のバージョン
- CODESYS Control for Linux SL 4.11.0.0より前のバージョン
- CODESYS Control for PFC100 SL 4.11.0.0より前のバージョン
- CODESYS Control for PFC200 SL 4.11.0.0より前のバージョン
- CODESYS Control for PLCnext SL 4.11.0.0より前のバージョン
- CODESYS Control for Raspberry Pi SL 4.11.0.0より前のバージョン
- CODESYS Control for WAGO Touch Panels 600 SL 4.11.0.0より前のバージョン
- CODESYS Runtime Toolkit for Linux or QNX 3.5.19.50より前のバージョン
Linux OSもしくはQNX OS上で動作するCODESYS Control runtimeには、OSコマンドインジェクション (CWE-78、CVE-2023-6357) の脆弱性が存在します。
当該製品のユーザによって、SysFileやCAA Fileのシステムライブラリを利用され、任意のOSコマンドを実行される可能性があります。
本脆弱性は、Linux OSもしくはQNX OS上で動作するCODESYS Control runtimeシステムのみ影響を受けるとのことです。
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
CODESYS Runtime Toolkitは、次のバージョンで修正されているとのことです。
- CODESYS Runtime Toolkit 3.5.19.50
ワークアラウンドを実施する
開発者が推奨するワークアラウンドを適用してください。
詳細は、開発者が提供する情報をご確認ください。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
Panasonic | 該当製品あり | 2024/11/28 | Panasonic の告知ページ |
ベンダ | リンク |
CODESYS GmbH | CODESYS Control V3 on Linux and QNX operating systems (PDF) |
-
VDE-2023-066 | CERT@VDE
CODESYS: OS Command Injection Vulnerability in multiple CODESYS Control products
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者およびCERT@VDEとの調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏
- 2024/11/28
- Panasonicのベンダステータスが更新されました