NVD脆弱性詳細
Exploit、PoC検索
CVE-2019-6008
概要

An unquoted search path vulnerability in Multiple Yokogawa products for Windows (Exaopc (R1.01.00 ? R3.77.00), Exaplog (R1.10.00 ? R3.40.00), Exaquantum (R1.10.00 ? R3.02.00 and R3.15.00), Exaquantum/Batch (R1.01.00 ? R2.50.40), Exasmoc (all revisions), Exarqe (all revisions), GA10 (R1.01.01 ? R3.05.01), and InsightSuiteAE (R1.01.00 ? R1.06.00)) allow local users to gain privileges via a Trojan horse executable file and execute arbitrary code with eleveted privileges.

公表日 2019年12月27日1:15
登録日 2021年1月26日11:43
最終更新日 2024年11月21日13:45
CVSS3.1 : HIGH
スコア 7.8
ベクター CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI)
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : MEDIUM
スコア 6.8
ベクター AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 はい
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:yokogawa:exarqe:*:*:*:*:*:windows:*:*
cpe:2.3:a:yokogawa:exasmoc:*:*:*:*:*:windows:*:*
cpe:2.3:a:yokogawa:insightsuiteae:*:*:*:*:*:windows:*:* r1.01.00 r1.06.00
cpe:2.3:a:yokogawa:ga10:*:*:*:*:*:windows:*:* r1.01.01 r3.05.01
cpe:2.3:a:yokogawa:exaquantum\/batch:*:*:*:*:*:windows:*:* r1.01.00 r2.50.40
cpe:2.3:a:yokogawa:exaquantum:*:*:*:*:*:windows:*:* r1.10.00 r3.02.00
cpe:2.3:a:yokogawa:exaplog:*:*:*:*:*:windows:*:* r1.10.00 r3.30.00
cpe:2.3:a:yokogawa:exaopc:*:*:*:*:*:windows:*:* r1.01.00 r3.77.00
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
横河製品が登録する Windows サービスで実行ファイルのパスが引用符で囲まれていない脆弱性
タイトル 横河製品が登録する Windows サービスで実行ファイルのパスが引用符で囲まれていない脆弱性
概要

横河電機株式会社が提供する 複数の Windows アプリケーションには、Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性 (CWE-428) が存在します。 この脆弱性情報は、製品利用者への周知を目的に開発者が JPCERT/CC に報告し、JPCERT/CC が開発者および米国 ICS-CERT との調整を行いました。

想定される影響 Windows サービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。
対策

[アップデートする] 次の製品を使用している場合は、最新版へアップデートしてください。 * Exaopc (R1.01.00 - R3.77.00) * Exaplog (R1.10.00 - R3.30.00) * Exaquantum (R1.10.00 - R3.10.00) * Exaquantum/Batch (R1.01.00 - R3.10.00) * GA10 (R1.01.01 - R3.05.01) * InsightSuiteAE (R1.01.00 - R1.06.00) * ProSafe-RS (R1.01.00 - R4.04.00) * IAシステム製品仮想化プラットフォーム (R1.01.00) (Thin Client のみ) * PRM (R4.01.00 - R4.03.00) * Exapilot (R1.01.00 - R3.98.10) * STARDOM VDS (R4.01 - R8.10) * STARDOM FCN/FCJ OPC サーバ for Windows (R1.01 - R4.20) [パッチを適用する] 次の製品を使用している場合は、パッチを適用してください。 * Exaplog (R3.40.00) * フィールド無線用OPCサーバ (R2.01.00, R2.01.01, R2.01.03, R2.01.10) 次の製品を使用している場合は、パッチ版 (R3.15.15) を適用、または最新版 (R3.20.00) へアップデートしてください。 * Exaquantum (R3.15.00) [現行製品の利用を停止し、後続製品に乗り換える] 開発者によると、次の製品は、2019年9月30日でサポートが終了するとのことです。現行製品の利用を停止し、後続製品への乗り換え等を検討してください。 * Exasmoc (全レビジョン) * Exarqe (全レビジョン) 詳しくは、開発者が提供する情報をご確認ください。
公表日 2019年9月27日0:00
登録日 2019年9月30日12:29
最終更新日 2021年9月7日14:45
影響を受けるシステム
横河電機株式会社
Exaopc (R1.01.00 - R3.77.00)
Exapilot (R1.01.00 - R3.98.10)
Exaplog (R1.10.00 - R3.40.00)
Exaquantum (R1.10.00 - R3.15.00)
Exaquantum/Batch (R1.01.00 - R3.10.00)
Exarqe (全レビジョン)
Exasmoc (全レビジョン)
GA10 (R1.01.01 - R3.05.01)
IAシステム製品仮想化プラットフォーム (R1.01.00) (Thin Client のみ)
InsightSuiteAE (R1.01.00 - R1.06.00)
PRM (R4.01.00 - R4.03.00)
ProSafe-RS (R1.01.00 - R4.04.00)
STARDOM FCN/FCJ OPC サーバ for Windows (R1.01 - R4.20)
STARDOM VDS (R4.01 - R8.10)
フィールド無線用OPCサーバ (R2.01.00, R2.01.01, R2.01.03, R2.01.10)
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
5 [2020年06月29日]
  影響を受けるシステム:内容を更新
  対策:内容を更新		 2020年6月29日11:11
3 [2019年11月08日]
  影響を受けるシステム:内容を更新
  対策:内容を更新		 2019年11月8日17:35
4 [2020年01月29日]
  影響を受けるシステム:内容を更新
  対策:内容を更新
  参考情報:National Vulnerability Database (NVD) を追加		 2020年1月29日9:55
1 [2019年09月30日]
  掲載		 2019年10月3日11:29
2 [2019年10月03日]
  参考情報:ICS-CERT ADVISORY (ICSA-19-274-02) を追加		 2019年10月3日11:29
6 [2021年07月08日]
  影響を受けるシステム:内容を更新
  対策:内容を更新		 2021年7月8日16:21
7 [2021年09月07日]
   影響を受けるシステム:内容を更新
   対策:内容を更新		 2021年9月7日14:09