JVNDB-2024-004328
|
HMS Industrial Networks 製 Anybus-CompactCom 30 におけるクロスサイトスクリプティングの脆弱性
|
|
HMS Industrial Networks 社が提供する Anybus-CompactCom 30 には、次の脆弱性が存在します。
* クロスサイトスクリプティング (CWE-79) − CVE-2024-6558
|
|
|
|
|
HMS Industrial Networks AB
- Anybus-CompactCom 30 全てのバージョン
|
なお、本脆弱性は当該製品のWebサーバを稼働させている場合に影響を受けます。
|
|
本脆弱性を悪用された場合、次のような影響を受ける可能性があります。
* サービス運用妨害 (DoS) 攻撃を受ける
* データを窃取される
* 当該機器やそれに付随するシステムに対し高度な制御をされる(リモートコード実行含む)
* ソーシャルエンジニアリング攻撃を受ける
|
|
[ワークアラウンドを実施する]
開発者は、以下のワークアラウンドの実施を推奨しています。
* 当該製品のモジュールで動作する Web ページにパスワード保護を追加する
* 当該モジュール内の Web サーバを利用不可にするか、エンドユーザが使用不可にできるようにオプションを追加する
* 当該製品が信頼できるネットワーク内で使用されていることを確認する
* 制御システムと当該機器がファイアウォールの内側に配備され、企業ネットワークから隔離されていることを確認する
* Anybus-CompactCom 30 module を Anybus-CompactCom 40 module に置き換える
詳細は、開発者が提供する情報をご確認ください。
|
|
HMS Industrial Networks AB
|
|
- クロスサイトスクリプティング(CWE-79) [その他]
|
|
- CVE-2024-6558
|
|
- JVN : JVNVU#99469766
- ICS-CERT ADVISORY : ICSA-24-193-20
|
|
|
