JVNVU#92857077: Edgecross基本ソフトウェアWindows版における複数の脆弱性
公開日:2024/11/21 最終更新日:2024/11/21

JVNVU#92857077
Edgecross基本ソフトウェアWindows版における複数の脆弱性

概要

一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数の脆弱性が存在します。

影響を受けるシステム

  • Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.00以降
  • 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.00以降
後述のCVE-2024-4229については、製品のインストール時に、管理者権限を持ったユーザのみに変更権限が与えられたフォルダ以外のフォルダを指定してインストールを行った場合にのみ、影響を受けます。

詳細情報

一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、次の複数の脆弱性が存在します。

  • インストール時の不適切なファイルアクセス権設定(CWE-276)-CVE-2024-4229
  • ファイル名やパスの外部制御(CWE-73)-CVE-2024-4230

想定される影響

システム上で悪意のあるプログラムが実行され、情報を取得および改ざんされたり、サービス運用妨害(DoS)状態にされたりする可能性があります。

対策方法

ワークアラウンドを実施する
開発者は、リスクを最小限に抑えるため、以下の回避策の適用を推奨しています。

  • CVE-2024-4229
    • 当該製品をデフォルトのインストールフォルダへインストールするか、インストールフォルダの変更が必要な場合には、管理者権限を持ったユーザのみに変更権限が与えられたフォルダを、インストールフォルダとして指定する
  • CVE-2024-4230
    • リアルタイムフローデザイナのプログラム実行フィードバック設定にてプログラムを指定する場合には、信頼できるファイルを指定する
  • CVE-2024-4229、CVE-2024-4230
    • 当該製品を使用するパソコンをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
    • 当該製品を使用するパソコンをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
    • 信頼できないファイル(特にプロジェクトファイル)を開いたり、信頼できないリンクをクリックしないようにする

ベンダ情報

ベンダ リンク
一般社団法人Edgecrossコンソーシアム 各種ダウンロード

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia