最終更新日: 2021/10/25
情報源
Japan Vulnerability Notes JVNVU#90041391
オムロン製CX-Supervisorにおける領域外のメモリ参照の脆弱性
https://jvn.jp/vu/JVNVU90041391/
概要
オムロン株式会社が提供するCX-Supervisorには、領域外のメモリ参照の脆弱性があります。結果として、当該製品の設定を変更可能なユーザーが、細工されたSCSプロジェクトファイルを開くことで、情報漏えいが起きたり、任意のコードを実行されたりする可能性があります。
対象となるバージョンは次のとおりです。
– CX-Supervisor v4.0.0.13、v4.0.0.16
開発者によると、本脆弱性を検証し再現することを確認したバージョンは上記であるとのことです。また、CX-Supervisorは日本国外でのみ販売されている製品であるとのことです。
この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を参照してください。
関連文書 (英語)
オムロン株式会社
Release Notes For CX-Supervisor 4.1.1.2
https://www.myomron.com/index.php?action=kb&article=1692
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2021-10-20」
https://www.jpcert.or.jp/wr/2021/wr214101.html