製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

複数の Schneider Electric 製品における任意のファイルを読まれる脆弱性

タイトル	複数の Schneider Electric 製品における任意のファイルを読まれる脆弱性
概要	Schneider Electric Vijeo Citect、CitectSCADA、PowerLogic SCADA には、XML 外部実体 (XXE) 問題に関連して、任意のファイルを読まれる、イントラネットサーバへ HTTP リクエストを送信される、またはサービス運用妨害 (CPU およびメモリ消費) 状態にされる脆弱性が存在します。
想定される影響	第三者により、実体参照に関連する外部実体宣言を含む XML ドキュメントを介して、任意のファイルを読まれる、イントラネットサーバへ HTTP リクエストを送信される、またはサービス運用妨害 (CPU およびメモリ消費) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年8月5日0:00
登録日	2013年8月13日19:27
最終更新日	2013年8月13日19:27

CVSS2.0 : 警告
スコア	6.9
ベクター	AV:L/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

Schneider Electric

CitectSCADA 7.20 およびそれ以前

PowerLogic SCADA 7.20 およびそれ以前

Vijeo Citect 7.20 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2796	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2796
National Vulnerability Database (NVD)
2	CVE-2013-2796	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2796

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Schneider Electric
1	Patch Information - cs-HF720SP459363	http://www.citect.schneider-electric.com/cs-HF720SP459363
2	Top Page	http://www.schneider-electric.com/site/home/index.cfm/uk/
国内サポート
3	サポート	http://www.schneider-electric.co.jp/sites/japan/jp/support/contact/we-care.page
日本法人
4	トップページ	http://www.schneider-electric.com/site/home/index.cfm/jp/

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-13-217-02	http://ics-cert.us-cert.gov/advisories/ICSA-13-217-02

変更履歴

No	変更内容	変更日
0	[2013年08月13日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-2796

概要	Schneider Electric Vijeo Citect 7.20 and earlier, CitectSCADA 7.20 and earlier, and PowerLogic SCADA 7.20 and earlier allow remote attackers to read arbitrary files, send HTTP requests to intranet servers, or cause a denial of service (CPU and memory consumption) via an XML document containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue.
公表日	2013年8月10日8:55
登録日	2021年1月26日15:39
最終更新日	2024年11月21日10:52

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:schneider-electric:citectscada:7.10:::::::*
cpe:2.3:a:schneider-electric:vijeo_citect::::::::			7.20
cpe:2.3:a:schneider-electric:citectscada::::::::			7.20
cpe:2.3:a:schneider-electric:powerlogic_scada:7.10:::::::*
cpe:2.3:a:schneider-electric:vijeo_citect:7.10:::::::*
cpe:2.3:a:schneider-electric:powerlogic_scada::::::::			7.20

関連情報、対策とツール

No	URL	refsource	タグ
1	http://ics-cert.us-cert.gov/advisories/ICSA-13-217-02		US Government Resource
2	http://ics-cert.us-cert.gov/advisories/ICSA-13-217-02		US Government Resource
3	http://www.citect.schneider-electric.com/cs-HF720SP459363		Patch
4	http://www.citect.schneider-electric.com/cs-HF720SP459363		Patch

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html