公開日:2025/01/31 最終更新日:2025/01/31

JVNVU#98776824
複数のSchneider Electric製System Monitor applicationにおける認可されていないActorへの機微な情報の漏えいの脆弱性

概要

Schneider Electricが提供する複数のSystem Monitor applicationには、認可されていないActorへの機微な情報の漏えいの脆弱性が存在します。

影響を受けるシステム

  • System Monitor application in Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEPシリーズ すべてのバージョン
  • System Monitor application in Pro-face Industrial PC PS5000シリーズ すべてのバージョン

詳細情報

Schneider Electricが提供する複数のSystem Monitor applicationには、次の脆弱性が存在します。

  • 認可されていないActorへの機微な情報の漏えい(CWE-200)
    • CVE-2024-8884

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 攻撃者によって、HTTP経由でネットワーク上のアプリケーションにアクセスされた場合、認証情報が漏えいする

対策方法

製品の使用を停止する
開発者は、当該製品のアンインストールを推奨しています。

ワークアラウンドを実施する
開発者は、アンインストールができない場合、低減策の適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2024-282-07 | System Monitor Application in Harmony and Pro-face PS5000 Legacy Industrial PCs

参考情報

  1. ICS Advisory | ICSA-25-030-03
    Schneider Electric System Monitor Application in Harmony and Pro-face PS5000 Legacy Industrial PCs

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia