JVNVU#98917488
ジェイテクトエレクトロニクス製Screen Creator Advance 2における複数の脆弱性
株式会社ジェイテクトエレクトロニクスが提供するScreen Creator Advance 2には、複数の脆弱性が存在します。
- Screen Creator Advance 2 Ver.0.1.1.4 Build01およびそれ以前
株式会社ジェイテクトエレクトロニクスが提供するScreen Creator Advance 2には、次の複数の脆弱性が存在します。
- 境界外書き込み(CWE-787)- CVE-2023-22345
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 境界外読み込み(CWE-125)- CVE-2023-22346、CVE-2023-22347、CVE-2023-22349、CVE-2023-22350、CVE-2023-22353
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8 - 解放済みメモリの使用(Use-after-free)(CWE-416)- CVE-2023-22360
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
細工されたScreen Creator Advance 2のプロジェクトファイルをユーザが開いた際、次のような影響を受けて、情報が漏えいしたり、任意のコードが実行されたりする可能性があります。
CVE-2023-22345
仕様外の状態を示すエラーを検出した場合、一部のエラーハンドリング処理が存在せずそのまま後続の処理に進み、境界外のメモリに書き込みが発生します。
CVE-2023-22346
テンプレート情報を処理する中でデータの終端を確認できず境界外のメモリの読み込みが発生します。
CVE-2023-22347
ファイル内の構造をまとめた管理情報を処理する中でデータの終端を確認できず境界外のメモリの読み込みが発生します。
CVE-2023-22349
画面管理情報を処理する中でデータの終端を確認できず、境界外のメモリの読み込みが発生します。
CVE-2023-22350
部品管理情報を処理する中でデータの終端を確認できず、境界外のメモリの読み込みが発生します。
CVE-2023-22353
コントロール管理情報を処理する中でデータの終端を確認できず、境界外のメモリの読み込みが発生します。
CVE-2023-22360
エラーを検出したにもかかわらず、一部のハンドリング処理が存在せず、後続の処理で解放済みメモリへのアクセスが発生します。
アップデートする
開発者が提供する情報をもとに、Screen Creator Advance 2をアップデートしてください。
開発者は、次のバージョンにおいて本脆弱性の対策を⾏っています。
- Screen Creator Advance 2 Ver.0.1.1.4 Build01Aおよびそれ以降
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Michael Heinzl 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2023-22345 |
|
CVE-2023-22346 |
|
|
CVE-2023-22347 |
|
|
CVE-2023-22349 |
|
|
CVE-2023-22350 |
|
|
CVE-2023-22353 |
|
|
CVE-2023-22360 |
|
| JVN iPedia |
|
- 2023/04/07
- [参考情報]にICS Advisoryのリンクを追加しました
