重要脆弱性情報 概要 タイトル: Advantech WebAccess の脆弱性 最終更新日: 2018年8月23日 警報コード: ICSA-16-014-01 影響を受ける製品 影響を受けるバージョン: WebAccess バージョン 8.0 およびそれより古いバージョン 影響 攻撃者はこれらの脆弱性を悪用し、対象システム上に任意のファイルのアップロード、作成、削除を行うこと、正当なユーザーのアクセスを拒否すること、またはリモートで任意のコードを実行することができます。 脆弱性の概要 バッファ末端を超えたメモリ位置へのアクセス (CWE-788) 危険なタイプのファイルの制限なしアップロード (CWE-434) パストラバーサル (CWE-22) スタックベースのバッファオーバーフロー (CWE-121) ヒープベースのバッファオーバーフロー (CWE-122) 競合状態 (CWE-362) 整数オーバーフローによるバッファオーバーフロー (CWE-680) バッファ内での不適切な制限操作 (CWE-119) 不適切なアクセス制御 (CWE-284) 不適切な入力検証 (CWE-20) クロスサイトスクリプティング (CWE-79) SQLインジェクション (CWE-89) クロスサイトリクエストフォージェリ (CWE-352) 外部によるファイル名またはパスの制御 (CWE-73) 機密情報の平文での保存 (CWE-312) 脆弱性の詳細 悪用可能性: これらの脆弱性はリモートから悪用可能です。 既知の悪用コード: これらの脆弱性を標的とした公開済みの悪用コードはありません。 悪用の難易度: 低技能の攻撃者でもこれらの脆弱性を悪用できます。 緩和策 Advantech は、報告された脆弱性に対処するために新しい WebAccess バージョン 8.1 をリリースしました。新バージョンは Advantech のウェブサイトから入手可能です。 ユーザーに対し、制御システムのネットワークへの公開を最小限に抑える、ファイアウォールによる隔離を使用する、VPN などの安全な方法を使用するなどの防御措置の実施を推奨します。 ベンダー ベンダー: Advantech