NVD脆弱性詳細

CVE-2015-0984

概要	Directory traversal vulnerability in the FTP server on Honeywell Excel Web XL1000C50 52 I/O, XL1000C100 104 I/O, XL1000C500 300 I/O, XL1000C1000 600 I/O, XL1000C50U 52 I/O UUKL, XL1000C100U 104 I/O UUKL, XL1000C500U 300 I/O UUKL, and XL1000C1000U 600 I/O UUKL controllers before 2.04.01 allows remote attackers to read files under the web root, and consequently obtain administrative login access, via a crafted pathname.
公表日	2015年3月31日10:59
登録日	2021年1月26日14:45
最終更新日	2024年11月21日11:24

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:honeywell:excel_web_xl_1000c1000_600_i\/o::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c50u_52_i\/o_uukl::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c500_300_i\/o_uukl::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c1000_600_i\/o_uukl::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c100_104_i\/o::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c500_300_i\/o::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c100u_104_i\/o_uukl::::::::		2.04.00
cpe:2.3:o:honeywell:excel_web_xl_1000c50_52_i\/o::::::::		2.04.00

関連情報、対策とツール

No	URL	タグ
1	http://seclists.org/fulldisclosure/2015/Apr/79
2	http://seclists.org/fulldisclosure/2015/Apr/79
3	https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02	Third Party Advisory US Government Resource
4	https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02	Third Party Advisory US Government Resource
5	https://www.outpost24.com/hacking-industrial-control-systems-case-study-falcon/	Exploit
6	https://www.outpost24.com/hacking-industrial-control-systems-case-study-falcon/	Exploit

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN脆弱性情報

複数の Honeywell Excel Web コントローラの FTP サーバにおけるディレクトリトラバーサルの脆弱性

タイトル	複数の Honeywell Excel Web コントローラの FTP サーバにおけるディレクトリトラバーサルの脆弱性
概要	複数の Honeywell Excel Web コントローラの FTP サーバには、ディレクトリトラバーサルの脆弱性が存在します。
想定される影響	第三者により、巧妙に細工されたパス名を介して、Web root 配下のファイルを読まれ、その結果、管理者のログインアクセス権を取得される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2015年3月17日0:00
登録日	2015年4月3日16:02
最終更新日	2015年5月1日15:13

影響を受けるシステム

Honeywell International Inc.

FALCON Linux 2.04.01 未満

XL1000C100 104 I/O 2.04.01 未満

XL1000C1000 600 I/O 2.04.01 未満

XL1000C1000U 600 I/O UUKL 2.04.01 未満

XL1000C100U 104 I/O UUKL 2.04.01 未満

XL1000C50 52 I/O 2.04.01 未満

XL1000C500 300 I/O 2.04.01 未満

XL1000C500U 300 I/O UUKL 2.04.01 未満

XL1000C50U 52 I/O UUKL 2.04.01 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-0984	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0984
National Vulnerability Database (NVD)
2	CVE-2015-0984	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0984

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
Honeywell
1	Top Page	http://honeywell.com/Pages/Home.aspx

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-15-076-02	https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02

変更履歴

No	変更内容	変更日
0	[2015年04月03日] 掲載 [2015年05月01日] CVSS による深刻度：内容を更新	2018年2月17日10:37