| タイトル | Schneider Electric InduSoft Web Studio および InTouch Machine Edition における重要な機能に対する認証の欠如に関する脆弱性 |
|---|---|
| 概要 | Schneider Electric InduSoft Web Studio および InTouch Machine Edition には、重要な機能に対する認証の欠如に関する脆弱性が存在します。 |
| 想定される影響 | 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2017年9月21日0:00 |
| 登録日 | 2017年11月10日16:43 |
| 最終更新日 | 2017年11月10日16:43 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 危険 | |
| スコア | 10 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Schneider Electric |
| InduSoft Web Studio 8.0 SP2 またはそれ以前 |
| InTouch Machine Edition 8.0 SP2 またはそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年11月10日] 掲載 |
2018年2月17日10:37 |
| 概要 | A Missing Authentication for Critical Function issue was discovered in Schneider Electric InduSoft Web Studio v8.0 SP2 or prior, and InTouch Machine Edition v8.0 SP2 or prior. InduSoft Web Studio provides the capability for an HMI client to trigger script execution on the server for the purposes of performing customized calculations or actions. A remote malicious entity could bypass the server authentication and trigger the execution of an arbitrary command. The command is executed under high privileges and could lead to a complete compromise of the server. |
|---|---|
| 公表日 | 2017年10月3日10:29 |
| 登録日 | 2021年1月26日13:15 |
| 最終更新日 | 2024年11月21日12:11 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:schneider-electric:wonderware_intouch:*:sp2:*:*:machine:*:*:* | 8.0 | ||||
| cpe:2.3:a:schneider-electric:wonderware_indusoft_web_studio:*:sp2:*:*:*:*:*:* | 8.0 | ||||