【活用ガイド】

[English]

JVNDB-2025-001016

オムロン製マシンオートメーションコントローラ NJ/NX シリーズにおけるパストラバーサルの脆弱性

概要

オムロン株式会社が提供するマシンオートメーションコントローラ NJ/NX シリーズには、パストラバーサルの脆弱性(CWE-22、CVE-2024-12083)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.6 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 高
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


オムロン株式会社
  • マシンオートメーションコントローラ NJ シリーズ NJ101-□□□□、NJ301-□□□□、NJ501-1□0□ Ver.1.64.05 およびそれ以前、ロット番号 30924 (2024 年 9 月 30 日) およびそれ以前 (*1)
  • マシンオートメーションコントローラ NJ シリーズ NJ501-1□2□、NJ501-1340、NJ501-4□□□、NJ501-5300、NJ501-R□□□ Ver.1.64.04 およびそれ以前、ロット番号 30924 (2024 年 9 月 30 日) およびそれ以前 (*1)
  • マシンオートメーションコントローラ NX シリーズ NX102-□□□□ Ver.1.64.07 およびそれ以前、ロット番号 12225 (2025 年 2 月 12 日) およびそれ以前 (*2)
  • マシンオートメーションコントローラ NX シリーズ NX102-□□2□ Ver.1.64.07 およびそれ以前、ロット番号 24425 (2025 年 4 月 24 日) およびそれ以前 (*2)
  • マシンオートメーションコントローラ NX シリーズ NX1P2-□□□□□□、NX1P2-□□□□□□1 Ver.1.64.04 およびそれ以前、ロット番号 19Y24 (2024 年 11 月 19 日) およびそれ以前 (*2)
  • マシンオートメーションコントローラ NX シリーズ NX502-□□□□ Ver.1.66.03 およびそれ以前、ロット番号 24425 (2025 年 4 月 24 日) およびそれ以前 (*2)
  • マシンオートメーションコントローラ NX シリーズ NX701-□□□□ Ver.1.35.04 およびそれ以前、ロット番号 24425 (2025 年 4 月 24 日) およびそれ以前 (*2)
  • マシンオートメーションコントローラ NX シリーズ NX-EIP201 Ver.1.01.02 およびそれ以前、ロット番号 24425 (2025 年 4 月 24 日) およびそれ以前 (*2)

マシンオートメーションコントローラ NJ シリーズの対象バージョンの確認方法は、開発者が提供する情報のうち「別紙 製品バージョンの確認方法」を参照してください。
(*1)ロット番号の確認方法は、開発者が提供する次のマニュアルの「識別情報表示」を参照してください
NJシリーズ CPUユニット ユーザーズマニュアル ハードウェア編(SBCA-466)

マシンオートメーションコントローラ NXシリーズの対象バージョンの確認方法は、開発者が提供する情報のうち「別紙 製品バージョンの確認方法」を参照してください。
(*2)ロット番号の確認方法は、開発者が提供する次のマニュアルの「識別情報表示」を参照してください
NX シリーズ NX102 CPU ユニット ユーザーズマニュアル ハードウェア編 (SBCA-462)
NX シリーズ NX1P2 CPU ユニット ユーザーズマニュアル ハードウェア編 (SBCA-448)
NX シリーズ NX5 CPU ユニット ユーザーズマニュアル ハードウェア編 (SBCA-497)
NX シリーズ NX7 CPU ユニット ユーザーズマニュアル ハードウェア編 (SBCA-418)
NX シリーズ NX-EIP201 EtherNet/IP ユニット ユーザーズマニュアル (SBCD-382)

詳しくは、開発者が提供する情報を確認してください。
想定される影響

管理者権限を持つ遠隔の第三者によって、細工されたリクエストを通じて当該製品内部のファイルにアクセスされたり、任意のコードが実行されたりする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに対策済みバージョンへアップデートしてください。
対策バージョンの入手および更新方法等については、開発者が提供する情報を確認してください。

[ワークアラウンドを実施する]
次の製品においては、「セキュア通信機能」の使用が推奨されています。

 * NJ シリーズ、NX102、NX1P2 CPU ユニット:Ver.1.49 およびそれ以降
 * NX701 CPU ユニット:Ver.1.29 およびそれ以降
 * NX502 CPU ユニット:Ver.1.60 およびそれ以降
 * NX-EIP201 EtherNet/IP ユニット:Ver.1.00 およびそれ以降

詳しくは、開発者が提供する情報を確認してください。
ベンダ情報

オムロン株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. パス・トラバーサル(CWE-22) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2024-12083
参考情報

  1. JVN : JVNVU#96335720
更新履歴

  • [2025年01月15日]
      掲載
  • [2025年05月08日]
      影響を受けるシステム:内容を更新
      対策:内容を更新