製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の ALC 製品における危険なタイプのファイルの無制限アップロードに関する脆弱性

タイトル	複数の ALC 製品における危険なタイプのファイルの無制限アップロードに関する脆弱性
概要	ALC WebCTRL、i-Vu、および SiteScan Web には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2017年8月22日0:00
登録日	2017年9月28日14:48
最終更新日	2017年9月28日14:48

影響を受けるシステム

Automated Logic Corporation

i-Vu 5.2 およびそれ以前

i-Vu 5.5 およびそれ以前

i-Vu 6.0 およびそれ以前

i-Vu 6.5 およびそれ以前

SiteScan Web 5.2 およびそれ以前

SiteScan Web 5.5 およびそれ以前

SiteScan Web 6.1 およびそれ以前

SiteScan Web 6.5 およびそれ以前

WebCTRL 5.2 およびそれ以前

WebCTRL 5.5 およびそれ以前

WebCTRL 6.0 およびそれ以前

WebCTRL 6.1 およびそれ以前

WebCTRL 6.5 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-9650	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9650
National Vulnerability Database (NVD)
2	CVE-2017-9650	https://nvd.nist.gov/vuln/detail/CVE-2017-9650

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-434	https://cwe.mitre.org/data/definitions/434.html

ベンダー情報

No	名前	URL
Automated Logic Corporation
1	Security Best Practices Checklists for Building Automation Systems (BAS)	http://www.automatedlogic.com/Pages/Security.aspx

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-17-234-01	https://ics-cert.us-cert.gov/advisories/ICSA-17-234-01

変更履歴

No	変更内容	変更日
0	[2017年09月28日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-9650

概要	An Unrestricted Upload of File with Dangerous Type issue was discovered in Automated Logic Corporation (ALC) ALC WebCTRL, i-Vu, SiteScan Web 6.5 and prior; ALC WebCTRL, SiteScan Web 6.1 and prior; ALC WebCTRL, i-Vu 6.0 and prior; ALC WebCTRL, i-Vu, SiteScan Web 5.5 and prior; and ALC WebCTRL, i-Vu, SiteScan Web 5.2 and prior. An authenticated attacker may be able to upload a malicious file allowing the execution of arbitrary code.
公表日	2017年8月26日4:29
登録日	2021年1月26日13:31
最終更新日	2024年11月21日12:36

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:automatedlogic:i-vu::::::::		6.5
cpe:2.3:a:automatedlogic:sitescan_web::::::::		6.1
cpe:2.3:a:automatedlogic:sitescan_web::::::::		5.2
cpe:2.3:a:automatedlogic:i-vu::::::::		5.5
cpe:2.3:a:automatedlogic:i-vu::::::::		5.2
cpe:2.3:a:automatedlogic:sitescan_web::::::::		6.5
cpe:2.3:a:automatedlogic:sitescan_web::::::::		5.5
cpe:2.3:a:automatedlogic:i-vu::::::::		6.0
cpe:2.3:a:carrier:automatedlogic_webctrl::::::::		6.5
cpe:2.3:a:carrier:automatedlogic_webctrl::::::::		6.1
cpe:2.3:a:carrier:automatedlogic_webctrl::::::::		6.0
cpe:2.3:a:carrier:automatedlogic_webctrl::::::::		5.5
cpe:2.3:a:carrier:automatedlogic_webctrl::::::::		5.2

No	URL	タグ
1	http://www.securityfocus.com/bid/100452	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/100452	Third Party Advisory VDB Entry
3	https://ics-cert.us-cert.gov/advisories/ICSA-17-234-01	Mitigation Third Party Advisory US Government Resource
4	https://ics-cert.us-cert.gov/advisories/ICSA-17-234-01	Mitigation Third Party Advisory US Government Resource
5	https://www.exploit-db.com/exploits/42544/	Third Party Advisory VDB Entry
6	https://www.exploit-db.com/exploits/42544/	Third Party Advisory VDB Entry