製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の WAGO e!DISPLAY 製品のファームウェアにおける危険なタイプのファイルの無制限アップロードに関する脆弱性

タイトル	複数の WAGO e!DISPLAY 製品のファームウェアにおける危険なタイプのファイルの無制限アップロードに関する脆弱性
概要	複数の WAGO e!DISPLAY 製品のファームウェアには、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2018年7月10日0:00
登録日	2018年10月1日15:30
最終更新日	2018年10月1日15:30

影響を受けるシステム

ワゴジャパン株式会社

762-3000 ファームウェア FW 02 未満

762-3001 ファームウェア FW 02 未満

762-3002 ファームウェア FW 02 未満

762-3003 ファームウェア FW 02 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-12980	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12980
National Vulnerability Database (NVD)
2	CVE-2018-12980	https://nvd.nist.gov/vuln/detail/CVE-2018-12980

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-434	https://cwe.mitre.org/data/definitions/434.html

ベンダー情報

No	名前	URL
WAGO Corporation
1	SA-WBM-2018-004: Vulnerabilitiesin the WAGO e!DISPLAY WBM	https://www.wago.com/medias/SA-WBM-2018-004.pdf?context=bWFzdGVyfHJvb3R8MjgyNzYwfGFwcGxpY2F0aW9uL3BkZnxoMWUvaDg4LzkzNjE3NTIxOTUxMDIucGRmfDU1NmJkYjEzNDY0ZGU4OWQ1OTMyMjUwNTlmZTI0MzgwNDQ1MDY1YzU3OWRmZDk1

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-18-198-02	https://ics-cert.us-cert.gov/advisories/ICSA-18-198-02

変更履歴

No	変更内容	変更日
1	[2018年10月01日] 掲載	2018年10月1日15:30

NVD脆弱性情報

CVE-2018-12980

概要	An issue was discovered on WAGO e!DISPLAY 762-3000 through 762-3003 devices with firmware before FW 02. The vulnerability allows an authenticated user to upload arbitrary files to the file system with the permissions of the web server.
公表日	2018年7月13日3:29
登録日	2021年3月1日18:51
最終更新日	2024年11月21日12:46

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://seclists.org/fulldisclosure/2018/Jul/38	Exploit Mailing List Third Party Advisory
2	http://seclists.org/fulldisclosure/2018/Jul/38	Exploit Mailing List Third Party Advisory
3	https://cert.vde.com/en-us/advisories/vde-2018-010	Third Party Advisory
4	https://cert.vde.com/en-us/advisories/vde-2018-010	Third Party Advisory
5	https://ics-cert.us-cert.gov/advisories/ICSA-18-198-02	Third Party Advisory US Government Resource
6	https://ics-cert.us-cert.gov/advisories/ICSA-18-198-02	Third Party Advisory US Government Resource
7	https://www.exploit-db.com/exploits/45014/	Exploit Third Party Advisory VDB Entry
8	https://www.exploit-db.com/exploits/45014/	Exploit Third Party Advisory VDB Entry
9	https://www.sec-consult.com/en/blog/advisories/remote-code-execution-via-multiple-attack-vectors-in-wago-edisplay/	Exploit Third Party Advisory
10	https://www.sec-consult.com/en/blog/advisories/remote-code-execution-via-multiple-attack-vectors-in-wago-edisplay/	Exploit Third Party Advisory
11	https://www.wago.com/medias/SA-WBM-2018-004.pdf?context=bWFzdGVyfHJvb3R8MjgyNzYwfGFwcGxpY2F0aW9uL3BkZnxoMWUvaDg4LzkzNjE3NTIxOTUxMDIucGRmfDU1NmJkYjEzNDY0ZGU4OWQ1OTMyMjUwNTlmZTI0MzgwNDQ1MDY1YzU3OWRmZDk1NzYzODAwMDI3ODg1NDJlZjU	Third Party Advisory
12	https://www.wago.com/medias/SA-WBM-2018-004.pdf?context=bWFzdGVyfHJvb3R8MjgyNzYwfGFwcGxpY2F0aW9uL3BkZnxoMWUvaDg4LzkzNjE3NTIxOTUxMDIucGRmfDU1NmJkYjEzNDY0ZGU4OWQ1OTMyMjUwNTlmZTI0MzgwNDQ1MDY1YzU3OWRmZDk1NzYzODAwMDI3ODg1NDJlZjU	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-434	危険なタイプのファイルの無制限アップロード	https://cwe.mitre.org/data/definitions/434.html