製品・ソフトウェアに関する情報
Vulnerability Search
Advantech 製 WebAccess/HMI Designer に複数の脆弱性
Title Advantech 製 WebAccess/HMI Designer に複数の脆弱性
Summary

Advantech 社が提供する WebAccess/HMI Designer は Human Machine Interface (HMI) 設計用のソフトウェアです。WebAccess/HMI Designer には、次の複数の脆弱性が存在します。  * ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2021-33000  * 境界外書き込み (CWE-787) - CVE-2021-33002  * バッファエラー (CWE-119) - CVE-2021-33004  * 解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2021-42706  * クロスサイトスクリプティング (CWE-79) - CVE-2021-42703

Possible impacts 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。   * 攻撃者によって特別に細工されたプロジェクトファイル (PLF ファイル、SNF ファイル、PM3 ファイル) を読み込むと、システム上で任意のコードが実行される - CVE-2021-33000、CVE-2021-33002、CVE-2021-33004  * 第三者によって、情報を窃取されたり、任意のコードを実行されたりする - CVE-2021-42706  * 遠隔の第三者によって細工した Javascript コードを当該製品に送信されると、ユーザの認証トークンを乗っ取られたり、ユーザを悪意のあるウェブページにリダイレクトさせ、意図しないブラウザ操作を実行されたりする - CVE-2021-42703
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した WebAccess/HMI Designer V2.1.11.0 をリリースしています。
Publication Date May 12, 2021, midnight
Registration Date May 13, 2021, 3:28 p.m.
Last Update Nov. 12, 2021, 2:12 p.m.
CVSS3.0 : 重要
Score 7.8
Vector CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Affected System
アドバンテック株式会社
WebAccess/HMI Designer V2.1.11.0 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
3 [2021年11月12日]
  タイトル:内容を更新
  概要:内容を更新
  CVSS による深刻度:内容を更新
  影響を受けるシステム:内容を更新
  想定される影響:内容を更新
  対策:内容を更新
  ベンダ情報:アドバンテック株式会社 (WebAccess/HMI Designer and WebAccess/HMI Runtime) を追加
  CWE による脆弱性タイプ一覧:内容を更新
  共通脆弱性識別子(CVE):CVE-2021-42703 を追加
  共通脆弱性識別子(CVE):CVE-2021-42706 を追加		 Nov. 12, 2021, 1:35 p.m.
1 [2021年05月13日]
  掲載		 May 13, 2021, 3:28 p.m.
2 [2021年06月24日]
  タイトル:内容を更新
  概要:内容を更新
  CVSS による深刻度:内容を更新
  影響を受けるシステム:内容を更新
  想定される影響:内容を更新
  対策:内容を更新
  ベンダ情報:アドバンテック株式会社 (Contact Us) を追加
  CWE による脆弱性タイプ一覧:内容を更新
  共通脆弱性識別子(CVE):CVE-2021-33000 を追加
  共通脆弱性識別子(CVE):CVE-2021-33002 を追加
  共通脆弱性識別子(CVE):CVE-2021-33004 を追加
  参考情報:ICS-CERT ADVISORY (ICSA-21-173-01) を追加		 June 24, 2021, 11:27 a.m.
NVD Vulnerability Information
CVE-2021-33000
Summary

Parsing a maliciously crafted project file may cause a heap-based buffer overflow, which may allow an attacker to perform arbitrary code execution. User interaction is required on the WebAccess HMI Designer (versions 2.1.9.95 and prior).

Publication Date June 25, 2021, 3:15 a.m.
Registration Date June 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 3:08 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:advantech:webaccess\/hmi_designer:*:*:*:*:*:*:*:* 2.1.9.95
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-33002
Summary

Opening a maliciously crafted project file may cause an out-of-bounds write, which may allow an attacker to execute arbitrary code. User interaction is require on the WebAccess HMI Designer (versions 2.1.9.95 and prior).

Publication Date June 25, 2021, 3:15 a.m.
Registration Date June 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 3:08 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:advantech:webaccess\/hmi_designer:*:*:*:*:*:*:*:* 2.1.9.95
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-33004
Summary

The affected product is vulnerable to memory corruption condition due to lack of proper validation of user supplied files, which may allow an attacker to execute arbitrary code. User interaction is required on the WebAccess HMI Designer (versions 2.1.9.95 and prior).

Publication Date June 25, 2021, 3:15 a.m.
Registration Date June 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 3:08 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:advantech:webaccess\/hmi_designer:*:*:*:*:*:*:*:* 2.1.9.95
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-42703
Summary

This vulnerability could allow an attacker to send malicious Javascript code resulting in hijacking of the user’s cookie/session tokens, redirecting the user to a malicious webpage, and performing unintended browser action.

Publication Date Nov. 16, 2021, 12:15 a.m.
Registration Date Nov. 18, 2021, 10:01 a.m.
Last Update Nov. 21, 2024, 3:28 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:advantech:webaccess_hmi_designer:*:*:*:*:*:*:*:* 2.1.11.0
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-42706
Summary

This vulnerability could allow an attacker to disclose information and execute arbitrary code on affected installations of WebAccess/MHI Designer

Publication Date Nov. 15, 2021, 11:15 p.m.
Registration Date Nov. 18, 2021, 10:01 a.m.
Last Update Nov. 21, 2024, 3:28 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:advantech:webaccess_hmi_designer:*:*:*:*:*:*:*:* 2.1.11.0
Related information, measures and tools
Common Vulnerabilities List