| タイトル | Advantech 製 WebAccess/HMI Designer に複数の脆弱性 |
|---|---|
| 概要 | Advantech 社が提供する WebAccess/HMI Designer は Human Machine Interface (HMI) 設計用のソフトウェアです。WebAccess/HMI Designer には、次の複数の脆弱性が存在します。 * ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2021-33000 * 境界外書き込み (CWE-787) - CVE-2021-33002 * バッファエラー (CWE-119) - CVE-2021-33004 * 解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2021-42706 * クロスサイトスクリプティング (CWE-79) - CVE-2021-42703 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * 攻撃者によって特別に細工されたプロジェクトファイル (PLF ファイル、SNF ファイル、PM3 ファイル) を読み込むと、システム上で任意のコードが実行される - CVE-2021-33000、CVE-2021-33002、CVE-2021-33004 * 第三者によって、情報を窃取されたり、任意のコードを実行されたりする - CVE-2021-42706 * 遠隔の第三者によって細工した Javascript コードを当該製品に送信されると、ユーザの認証トークンを乗っ取られたり、ユーザを悪意のあるウェブページにリダイレクトさせ、意図しないブラウザ操作を実行されたりする - CVE-2021-42703 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した WebAccess/HMI Designer V2.1.11.0 をリリースしています。 |
| 公表日 | 2021年5月12日0:00 |
| 登録日 | 2021年5月13日15:28 |
| 最終更新日 | 2021年11月12日14:12 |
| CVSS3.0 : 重要 | |
| スコア | 7.8 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| アドバンテック株式会社 |
| WebAccess/HMI Designer V2.1.11.0 より前のバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 3 | [2021年11月12日] タイトル:内容を更新 概要:内容を更新 CVSS による深刻度:内容を更新 影響を受けるシステム:内容を更新 想定される影響:内容を更新 対策:内容を更新 ベンダ情報:アドバンテック株式会社 (WebAccess/HMI Designer and WebAccess/HMI Runtime) を追加 CWE による脆弱性タイプ一覧:内容を更新 共通脆弱性識別子(CVE):CVE-2021-42703 を追加 共通脆弱性識別子(CVE):CVE-2021-42706 を追加 |
2021年11月12日13:35 |
| 1 | [2021年05月13日] 掲載 |
2021年5月13日15:28 |
| 2 | [2021年06月24日] タイトル:内容を更新 概要:内容を更新 CVSS による深刻度:内容を更新 影響を受けるシステム:内容を更新 想定される影響:内容を更新 対策:内容を更新 ベンダ情報:アドバンテック株式会社 (Contact Us) を追加 CWE による脆弱性タイプ一覧:内容を更新 共通脆弱性識別子(CVE):CVE-2021-33000 を追加 共通脆弱性識別子(CVE):CVE-2021-33002 を追加 共通脆弱性識別子(CVE):CVE-2021-33004 を追加 参考情報:ICS-CERT ADVISORY (ICSA-21-173-01) を追加 |
2021年6月24日11:27 |
| 概要 | Parsing a maliciously crafted project file may cause a heap-based buffer overflow, which may allow an attacker to perform arbitrary code execution. User interaction is required on the WebAccess HMI Designer (versions 2.1.9.95 and prior). |
|---|---|
| 公表日 | 2021年6月25日3:15 |
| 登録日 | 2021年6月25日10:00 |
| 最終更新日 | 2024年11月21日15:08 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:advantech:webaccess\/hmi_designer:*:*:*:*:*:*:*:* | 2.1.9.95 | ||||
| 概要 | Opening a maliciously crafted project file may cause an out-of-bounds write, which may allow an attacker to execute arbitrary code. User interaction is require on the WebAccess HMI Designer (versions 2.1.9.95 and prior). |
|---|---|
| 公表日 | 2021年6月25日3:15 |
| 登録日 | 2021年6月25日10:00 |
| 最終更新日 | 2024年11月21日15:08 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:advantech:webaccess\/hmi_designer:*:*:*:*:*:*:*:* | 2.1.9.95 | ||||
| 概要 | The affected product is vulnerable to memory corruption condition due to lack of proper validation of user supplied files, which may allow an attacker to execute arbitrary code. User interaction is required on the WebAccess HMI Designer (versions 2.1.9.95 and prior). |
|---|---|
| 公表日 | 2021年6月25日3:15 |
| 登録日 | 2021年6月25日10:00 |
| 最終更新日 | 2024年11月21日15:08 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:advantech:webaccess\/hmi_designer:*:*:*:*:*:*:*:* | 2.1.9.95 | ||||
| 概要 | This vulnerability could allow an attacker to send malicious Javascript code resulting in hijacking of the user’s cookie/session tokens, redirecting the user to a malicious webpage, and performing unintended browser action. |
|---|---|
| 公表日 | 2021年11月16日0:15 |
| 登録日 | 2021年11月18日10:01 |
| 最終更新日 | 2024年11月21日15:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:advantech:webaccess_hmi_designer:*:*:*:*:*:*:*:* | 2.1.11.0 | ||||
| 概要 | This vulnerability could allow an attacker to disclose information and execute arbitrary code on affected installations of WebAccess/MHI Designer |
|---|---|
| 公表日 | 2021年11月15日23:15 |
| 登録日 | 2021年11月18日10:01 |
| 最終更新日 | 2024年11月21日15:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:advantech:webaccess_hmi_designer:*:*:*:*:*:*:*:* | 2.1.11.0 | ||||