公開日:2024/08/09 最終更新日:2024/08/09

JVNVU#99160796
Dorsett Controls製InfoScanにおける複数の脆弱性

概要

Dorsett Controlsが提供するInfoScanには、複数の脆弱性が存在します。

影響を受けるシステム

  • InfoScan バージョン1.32、1.33、1.35

詳細情報

Dorsett Controlsが提供するInfoScanには、次の複数の脆弱性が存在します。

  • 認可されていないActorへの機微な情報の漏えい(CWE-200)-CVE-2024-42493、CVE-2024-39287
  • パストラバーサル(CWE-22)-CVE-2024-42408

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • レスポンスヘッダーやJavaScriptを介して、機微な情報が漏えいする(CVE-2024-42493)
  • パスワードやAPIキーを含む保護されていないファイルを使用して、情報が漏えいする(CVE-2024-39287)
  • 当該製品のクライアントページがプロキシで傍受され、情報が漏えいする(CVE-2024-42408)

対策方法

アップデートする
開発者は、当該製品のバージョン1.38以降へのアップデートを推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Dorsett Controls Dorsett Controls security bulletin

参考情報

  1. ICS Medical Advisory | ICSA-24-221-01
    Dorsett Controls InfoScan

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia