JVNVU#97763467
AVEVA製AVEVA Edgeにおける複数の脆弱性

AVEVAが提供するAVEVA Edgeには、複数の脆弱性が存在します。

• AVEVA Edge 2020 R2 SP1
• AVEVA Edge 2020 R2 SP1 HF 2020.2.00.40
• AVEVA Edge 2020 R2およびそれ以前のバージョン（旧名称：InduSoft Web Studio）

AVEVAが提供するAVEVA Edgeは、HMI/SCADAソフトウェアです。AVEVA Edgeには、次の複数の脆弱性が存在します。

• ファイル検索パスの制御不備 (CWE-427) - CVE-2016-2542
• 情報漏えい (CWE-200) - CVE-2021-42794
• 不適切なアクセス制御 (CWE-284) - CVE-2021-42796
• パストラバーサル (CWE-40) - CVE-2021-42797

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• ファイルシステムにアクセスできるローカルのユーザによって細工されたDLLファイルを読み込まされ、任意のコードを実行されたり、権限昇格される - CVE-2016-2542
• 遠隔の第三者によって、内部ネットワークをスキャンされ、機密性の高いデバイス情報を窃取される - CVE-2021-42794
• 遠隔の第三者によって、AVEVA Edgeランタイムを起動する特権ユーザアカウントで、任意のコマンドを実行される - CVE-2021-42796
• 遠隔の第三者によって、外部DBリソースにアクセスするために設定されたユーザアカウントのWindowsアクセストークンを窃取される - CVE-2021-42797

アップデートする
開発者は、2020 R2 SP1 HF 2020.2.00.40までを使用しているユーザには、AVEVA Edge 2020 R2 SP2を提供しています。

ワークアラウンドを実施する
開発者は、TCP/3997ポートへのアクセス制限を推奨しています。

詳細は、開発者が提供する情報をご確認ください。