JVNVU#99451862
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-11425

• Modicon M580 CPU（部品番号 BMEP*およびBMEH*、ただしM580 CPU Safetyは除く）SV4.30より前のバージョン
• Modicon M580 CPU Safety（部品番号 BMEP58*SおよびBMEH58*S） SV4.21より前のバージョン
• BMENOR2200H すべてのバージョン
• EVLink Pro AC v1.3.10より前のバージョン

• Web Designer for BMXNOR0200H すべてのバージョン
• Web Designer for BMXNOE0110(H) すべてのバージョン
• Web Designer for BMENOC0311(C) すべてのバージョン
• Web Designer for BMENOC0321(C) すべてのバージョン

• Modicon M340 processors (部品番号 BMXP34*) すべてのバージョン
• BMXNOE0100 すべてのバージョン
• BMXNOE0110 すべてのバージョン
• BMXNOR0200H SV1.70IR26より前のバージョン

• Pro-face GP-Pro EX すべてのバージョン
• Pro-face Remote HMI すべてのバージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• バッファサイズの計算の誤り（CWE-131）
  • CVE-2024-11425
• XML外部エンティティ参照（XXE）の不適切な制限（CWE-611）
  • CVE-2024-12476
• 情報漏えい（CWE-200）
  • CVE-2024-12142
• 通信チャネルで送受信するメッセージに対する完全性の検証不備（CWE-924）
  • CVE-2024-12399

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 攻撃者によって、細工されたHTTPSパケットをWebサーバーに送付され、サービス運用妨害（DoS）状態にされる（CVE-2024-11425）
• 細工されたXMLファイルがWeb Designer構成ツールにインポートされると、情報が漏えいしワークステーションの完全性が侵害され、リモートコード実行される（CVE-2024-12476）
• 特定のWebページが変更され制限された機能が呼び出されると、制限されたWebページの情報漏えいやWebページの変更をされたり、サービス運用妨害（DoS）状態にされたりする（CVE-2024-12142）
• 中間者攻撃によって、HMIの機密性の一部および完全性、可用性が損なわれる（CVE-2024-12399）

CVE-2024-11425、CVE-2024-12142
アップデートする
開発者は、アップデートを提供しているか、提供を予定しています。
ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

CVE-2024-12476
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

CVE-2024-12399
ワークアラウンドを実施する
開発者は、アップデート提供を予定しています。この提供まではワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。