公開日:2023/02/03 最終更新日:2023/02/03

JVNVU#98784988
複数のDelta Electronics製品における複数の脆弱性

概要

Delta Electronicsが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-0250、CVE-2023-0251、CVE-2023-0249

  • DIAScreen V1.2.1.23およびそれ以前
CVE-2022-42139
  • DVW-W02W2-E2 V2.42
CVE-2022-42140、CVE-2023-0432
  • DX-2100L1-CN V1.5.0.10

詳細情報

Delta Electronicsが提供する複数の製品には、次の複数の脆弱性が存在します。

  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2023-0250
  • メモリバッファ―エラー (CWE-119) - CVE-2023-0251
  • 境界外書き込み (CWE-787) - CVE-2023-0249
  • OSコマンドインジェクション (CWE-78) - CVE-2022-42139、CVE-2022-42140
  • 格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-0432

2023年2月3日現在、一部の脆弱性において実証コードの公開を確認しています。

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 第三者によって、任意のコードを実行される - CVE-2023-0250、CVE-2023-0251、CVE-2023-0249
  • Webインターフェースにアクセス可能なユーザによって、細工されたHTTPリクエストを送信され、root権限を取得される - CVE-2022-42139
  • Webインターフェースにアクセス可能なユーザによって、細工されたHTTPリクエストを送信され、root権限で任意のOSコマンドを実行される - CVE-2022-42140
  • 当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-0432

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Delta Electronics Sign In/Sign Up(要ログイン)
Download Center | DVW-W02W2
Download Center | DX-2100L1

参考情報

  1. ICS Advisory (ICSA-23-033-01)
    Delta Electronics DIAScreen
  2. ICS Advisory (ICSA-23-033-04)
    Delta Electronics DVW-W02W2-E2
  3. ICS Advisory (ICSA-23-033-05)
    Delta Electronics DX-2100-L1-CN

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia