gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2021-001430

Rockwell Automation 製 Connected Components Workbench に複数の脆弱性

8.6
2021/05/17 17:36
CVE-2021-27475

JVNDB-2021-001430

Rockwell Automation 製 Connected Components Workbench に複数の脆弱性
概要
Rockwell Automation 社が提供する Connected Components Workbench には、次の複数の脆弱性が存在します。  * 信頼できないデータのデシリアライゼーション (CWE-502) - CVE-2021-27475  * パス・トラバーサル (CWE-22) - CVE-2021-27471  * 不適切な入力確認 (CWE-20) - CVE-2021-27473
想定される影響と対策
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。  * ローカルのユーザが、第三者の作成した不正なシリアライズオブジェクトを該当製品で開くと、リモートからコード実行される - CVE-2021-27475  * ローカルのユーザが、第三者の作成した不正なファイルを該当製品で開くと、該当製品の権限で、既存ファイルを上書きされたり新規ファイルを作成されたりする - CVE-2021-27471  * 悪意を持ったユーザが作成した不正な .ccwarc アーカイブファイルを該当製品で開くことで、製品の権限を取得される - CVE-2021-27473
JVNDB-2021-001430は、[アップデートする] Rockwell Automation 社が提供する情報をもとに、以下のバージョンにアップデートしてください。  * Connected Components Workbench v13.00.00 またはそれ以降 [ワークアラウンドを実施する] アップデートできない場合、Rockwell Automation 社は以下の回避策の実施を推奨しています。  * 不正コードによる影響の軽減のため、Connected Components Workbench を管理者権限ではなくユーザ権限で実行する  * Connected Components Workbench で信頼されない .ccwarc アーカイブファイルを開かない  * Microsoft AppLocker のような製品を利用し、利用アプリケーションをホワイトリスト化することでリスクを軽減する  * 最小のユーザ権限付与の原則を確認し、データベースのような共有資源にアクセスするユーザやサービスアカウントは必要最低限の権限にする
JVN情報 ※( )内はCVSS v3の値
深刻度8.68.6
CVECVE-2021-27475
公表日2021/05/14 00:00
登録日2021/05/17 17:36
更新日2021/05/17 17:36
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。