製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の National Instruments 製品および ABB DataManager などの製品で使用される National Instruments cwui.ocx における絶対パストラバーサルの脆弱性

Title	複数の National Instruments 製品および ABB DataManager などの製品で使用される National Instruments cwui.ocx における絶対パストラバーサルの脆弱性
Summary	National Instruments LabWindows/CVI、National Instruments LabVIEW、および ABB DataManager Data Analysis コンポーネントなどの製品で使用される National Instruments cwui.ocx には、絶対パストラバーサルの脆弱性が存在します。
Possible impacts	第三者により、(a) Caption および (b) FormatString プロパティ値のファイルコンテンツとともに、下記の ActiveX コントロールの ExportStyle メソッドの引数に含まれるフルパス名を介して、任意のファイルを作成されるおよび実行される可能性があります。 (1) CWNumEdit (2) CWGraph (3) CWBoolean (4) CWSlide (5) CWKnob
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 22, 2013, midnight
Registration Date	Aug. 8, 2013, 3 p.m.
Last Update	Aug. 8, 2013, 3 p.m.

Affected System

ABB

ABB DataManager 1 から 6.3.6

日本ナショナルインスツルメンツ

LabVIEW

LabWindows/CVI

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5021	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5021
National Vulnerability Database (NVD)
2	CVE-2013-5021	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5021

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
ABB
1	ABBVU-PACT-3BSE072617	http://www05.abb.com/global/scot/scot203.nsf/veritydisplay/5975a8a86c82eec2c125798e00551522/$file/SECURITY_BULLETIN_-_ABBVU-PACT-3BSE072617_DataManager_Vulnerability.pdf
KnowledgeBase
2	How Do The NI Q2 2013 Security Updates Affect Me?	http://digital.ni.com/public.nsf/websearch/507DEC9DA57A708186257B3600512623?OpenDocument
技術サポートデータベース
3	NI Q2 2013セキュリティアップデートについて	http://digital.ni.com/public.nsf/websearchj/A13EF8E8AE2CFAA886257B750076EC0B?OpenDocument

その他

No	Name	URL
関連文書
1	ZDI-13-120	http://zerodayinitiative.com/advisories/ZDI-13-120/

Change Log

No	Changed Details	Date of change
0	[2013年08月08日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-5021

Summary	Multiple absolute path traversal vulnerabilities in National Instruments cwui.ocx, as used in National Instruments LabWindows/CVI 2012 SP1 and earlier, National Instruments LabVIEW 2012 SP1 and earlier, the Data Analysis component in ABB DataManager 1 through 6.3.6, and other products allow remote attackers to create and execute arbitrary files via a full pathname in an argument to the ExportStyle method in the (1) CWNumEdit, (2) CWGraph, (3) CWBoolean, (4) CWSlide, or (5) CWKnob ActiveX control, in conjunction with file content in the (a) Caption or (b) FormatString property value.
Publication Date	Aug. 7, 2013, 5:55 a.m.
Registration Date	Jan. 26, 2021, 3:44 p.m.
Last Update	Nov. 21, 2024, 10:56 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://digital.ni.com/public.nsf/allkb/04B876608790082C86257BD1000CC950?OpenDocument
2	http://digital.ni.com/public.nsf/allkb/04B876608790082C86257BD1000CC950?OpenDocument
3	http://digital.ni.com/public.nsf/websearch/507DEC9DA57A708186257B3600512623?OpenDocument
4	http://digital.ni.com/public.nsf/websearch/507DEC9DA57A708186257B3600512623?OpenDocument
5	http://www05.abb.com/global/scot/scot203.nsf/veritydisplay/5975a8a86c82eec2c125798e00551522/%24file/SECURITY_BULLETIN_-_ABBVU-PACT-3BSE072617_DataManager_Vulnerability.pdf
6	http://www05.abb.com/global/scot/scot203.nsf/veritydisplay/5975a8a86c82eec2c125798e00551522/%24file/SECURITY_BULLETIN_-_ABBVU-PACT-3BSE072617_DataManager_Vulnerability.pdf
7	http://zerodayinitiative.com/advisories/ZDI-13-120/
8	http://zerodayinitiative.com/advisories/ZDI-13-120/

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html