« ■11/13(日)~11/19(土) のセキュリティ関連情報 | メイン | ■11/27(日)~12/03(土) のセキュリティ関連情報 »

2022年11月30日 (水)

■11/20(日)~11/26(土) のセキュリティ関連情報

目 次

【1】TP-Link RE300 V1のtdpServerに入力データの不適切な処理に関する脆弱性
【2】サイボウズ リモートサービスにリソース枯渇に至る脆弱性
【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性
【4】TyporaにJavaScriptコードの無効化処理が不十分な問題
【5】オムロン製CX-Programmerに複数の脆弱性
【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性
【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
【今週のひとくちメモ】JSAC2023参加申し込み開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr224701.html
https://www.jpcert.or.jp/wr/2022/wr224701.xml
============================================================================


【1】TP-Link RE300 V1のtdpServerに入力データの不適切な処理に関する脆弱性

情報源
Japan Vulnerability Notes JVN#29657972
TP-Link RE300 V1 の tdpServer における入力データの不適切な処理に関する脆弱性
https://jvn.jp/jp/JVN29657972/

概要
TP-Link RE300 V1に実装されているtdpServerには、入力データの処理に問題
があります。結果として、第三者によって細工された入力を処理させられると
クラッシュする可能性があります。

対象となるバージョンは次のとおりです。

- TP-Link RE300 V1 ファームウェア221009より前のバージョン

この問題は、該当する製品をTP-Linkが提供する修正済みのバージョンに更新
することで解決します。詳細は、TP-Linkが提供する情報を参照してください。

関連文書 (日本語)
TP-Link
RE300 V1 のコンテンツ
https://www.tp-link.com/jp/support/download/re300/v1/#Firmware

【2】サイボウズ リモートサービスにリソース枯渇に至る脆弱性

情報源
Japan Vulnerability Notes JVN#87895771
サイボウズ リモートサービスにおけるリソース枯渇に至る脆弱性
https://jvn.jp/jp/JVN87895771/

概要
サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース
枯渇に至る脆弱性があります。結果として、当該製品にログイン可能なユーザー
が、意図しない操作により対象サーバーのストレージ領域を消費し、サービス
運用妨害(DoS)状態を引き起こす可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ リモートサービス 4.0.0から4.0.3まで

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ リモートサービス 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2022/007754.html

【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#53682526
baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53682526/

概要
baserCMSユーザー会が提供するbaserCMSには、複数のクロスサイトスクリプ
ティングの脆弱性があります。結果として、当該製品の管理画面にアクセスし
たユーザーのWebブラウザー上で、任意のスクリプトが実行される可能性があ
ります。

対象となるバージョンは次のとおりです。

- baserCMS 4.7.2より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、baserCMSユーザー会が提供する
情報を参照してください。

関連文書 (日本語)
baserCMSユーザー会
2022/11/24 baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://basercms.net/security/JVN_53682526

【4】TyporaにJavaScriptコードの無効化処理が不十分な問題

情報源
Japan Vulnerability Notes JVN#26044739
Typora における JavaScript コードの無効化処理が不十分な問題
https://jvn.jp/jp/JVN26044739/

概要
Typoraには、編集内容に含まれるJavaScriptコードの一部に対して無効化処理
が行われない問題があります。結果として、当該製品を使用してファイルを開
いたときに、ファイルに含まれているJavaScriptコードが実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- Typora 1.4.4より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Typora
History Releases
https://typora.io/releases/all

【5】オムロン製CX-Programmerに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92877622
オムロン製CX-Programmerにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92877622/

概要
オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。
結果として、細工されたCXPファイルをユーザーに開かせることで、情報漏え
いが発生したり、任意のコードを実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- CX-Programmer Ver.9.77およびそれ以前のバージョン

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

関連文書 (日本語)
オムロン株式会社
オムロン株式会社からの情報
https://jvn.jp/vu/JVNVU92877622/995504/

【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95633416
三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
https://jvn.jp/vu/JVNVU95633416/

概要
三菱電機株式会社が提供するGOT2000シリーズのFTPサーバー機能には、不適切
な入力確認の脆弱性があります。結果として、FTPクライアントを使用してFTP
サーバー(GOT)にアクセス可能な攻撃者が細工したコマンドを送信すること
で、当該製品がサービス運用妨害(DoS)状態になる可能性があります。

対象となるバージョンは次のとおりです。

- GOT2000シリーズ
- GT27モデル 01.39.000およびそれ以前
- GT25モデル 01.39.000およびそれ以前
- GT23モデル 01.39.000およびそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
GOT2000 シリーズの FTP サーバ機能におけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-016.pdf

【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97244961
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU97244961/

概要
三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、複数
の脆弱性があります。結果として、遠隔の第三者が当該製品のプロジェクトファ
イルに関する情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- GX Works3
- MX OPC UA Module Configurator-R

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会
社が提供する情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
複数の FA エンジニアリングソフトウェア製品における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-015.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JSAC2023参加申し込み開始

2022年11月17日、JPCERT/CCは「JSAC2023」の参加申し込みを開始しました。
2023年1月25日(水)および26日(木)に開催される本カンファレンスは、日
本国内のセキュリティアナリストが一堂に会し、インシデント分析・対応に関
連する技術的な知見を共有することを目的に開催しているものです。

参加をご希望の場合は、必要事項をご記入いただき、電子メールにてお申し込
みください。申し込み締め切りは2023年1月17日(火) 23:59 JSTです。詳細は
JSAC2023ページをご確認ください。

参考文献 (日本語)
JPCERT/CC
JSAC2023
https://jsac.jpcert.or.jp/

JPCERT/CC
JSAC2023 -Registration-
https://jsac.jpcert.or.jp/registration.html


――――――――――――――――――――――――――――――――――――――