JVNVU#99473977
Eaton 製 EASYsoft に複数の脆弱性

Eaton 社が提供する EASYsoft には、複数の脆弱性が存在します。

• EASYsoft バージョン 7.20 およびそれ以前

EASYsoft は Eaton 社が提供する回路図の作成及びシミュレーションソフトウエアです。 EASYsoft には次の複数の脆弱性が存在します。

• 型の取り違え (CWE-843) - CVE-2020-6656

  CVSS v3

  CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L

  基本値: 5.8

• 領域外のメモリ参照 (CWE-125) - CVE-2020-6655

  CVSS v3

  CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L

  基本値: 5.8

第三者によって、ユーザーをだまし悪意のある .E70 ファイルをアップロードさせたり、悪意のあるコードを実行したりすることで、プログラム変更やソフトウェアのクラッシュが引き起こされる。

ワークアラウンドを実施する
2021年1月8日現在、修正済みのバージョンは提供されていません。
Eaton 社は修正パッチの提供を1月末に予定しているとのことです。

Eaton 社は、修正パッチが提供されるまで次のワークアラウンドを推奨しています。

• 自身が作成か信頼できるソースから入手した .E70 ファイルを使用する
• アプリケーションのクラッシュが .E70 ファイルアップロードが原因で発生した場合はアプリケーションを再起動し、その後 .E70 ファイルを再アップロードしない