|
[English]
|
JVNDB-2024-002942
|
オムロン製マシンオートメーションコントローラ NJ/NX シリーズにおけるパストラバーサルの脆弱性
|
|
オムロン株式会社が提供するマシンオートメーションコントローラ NJ/NX シリーズには、パストラバーサルの脆弱性(CWE-22、CVE-2024-27121)が存在します。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、 JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 7.2 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
オムロン株式会社
- マシンオートメーションコントローラ NJ シリーズ NJ101-□□□□ Ver.1.64.03 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ301-□□□□ Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ501-1□0□ Ver.1.64.03 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ501-1□2□ Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ501-1340 Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ501-4□□□ Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ501-5300 Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NJ シリーズ NJ501-R□□□ Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NX シリーズ NX1P2-□□□□□□ Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NX シリーズ NX1P2-□□□□□□1 Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NX シリーズ NX102-□□□□ Ver.1.64.00 およびそれ以前
- マシンオートメーションコントローラ NX シリーズ NX502-□□□□ Ver.1.65.01 およびそれ以前
- マシンオートメーションコントローラ NX シリーズ NX701-□□□□ Ver.1.35.00 およびそれ以前
- マシンオートメーションコントローラ NX シリーズ NX-EIP201 Ver.1.00.01 およびそれ以前
|
製品やバージョンの確認方法等詳細については、開発者が提供する情報を確認してください。
|
|
管理者権限を持つ遠隔の第三者によって、細工されたリクエストを通じて当該製品内部のファイルにアクセスされたり、任意のコードが実行されたりする可能性があります。
|
|
開発者によると、本脆弱性に対応したアップデートが 2024 年 4 月にリリースされる予定とのことです。
[ワークアラウンドを実施する]
開発者は、以下の回避策を適用することを推奨しています。
- 次のCPUユニットのユニットバージョンで使用可能な「セキュア通信機能」を使用する
- NJシリーズ、NX102、NX1P2 CPUユニット Ver.1.49およびそれ以降
- NX701 CPUユニット Ver.1.29およびそれ以降
- NX502 CPUユニット Ver.1.60およびそれ以降
- NX-EIP201 Ver.1.00およびそれ以降
- ネットワーク接続を最小限に抑え、信頼できないデバイスからのアクセスを制限する
- ファイアウォール等の導入によるITネットワークからの分離(未使用通信ポートの遮断、通信ホストの制限)
- 仮想プライベートネットワーク(VPN)の使用
詳しくは、開発者が提供する情報を確認してください。
|
|
オムロン株式会社
|
|
- パス・トラバーサル(CWE-22) [その他]
|
|
- CVE-2024-27121
|
|
- JVN : JVNVU#95852116
|
|
|
