横河電機の制御システム向けアラーム管理ソフトに複数脆弱性

横河電機の制御システム「CENTUM」で動作するアラーム管理ソフト「CAMS for HIS」に複数の脆弱性が含まれていることがわかった。

同社によれば、「CENTUM CS 3000」や「CENTUM VP」の一部バージョンにリモートから任意の場所にファイルを作成され、任意のコマンドを実行されるおそれがあるパストラバーサルの脆弱性「CVE-2020-5609」が判明したもの。

また認証に問題があり、第三者によって細工したパケットを送信されるおそれがある「CVE-2020-5608」が含まれる。いずれも共通脆弱性評価システム「CVSSv3」のベーススコアは「8.1」とレーティングされている。

同社では、周知を目的にJPCERTコーディネーションセンターへ脆弱性を報告。調整を経て脆弱性へ対応したアップデートをリリースした。一部製品は保守期間が終了しており、後継製品へのアップデートを検討するよう求めている。

（Security NEXT - 2020/08/03 ） ツイート

PR

関連記事

相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
セキュリティアップデート「Firefox 147.0.2」が公開