TP-Link RE300 V1に実装されているtdpServerには、入力データの処理に問題
があります。結果として、第三者によって細工された入力を処理させられると
クラッシュする可能性があります。

対象となるバージョンは次のとおりです。

- TP-Link RE300 V1 ファームウェア221009より前のバージョン

この問題は、該当する製品をTP-Linkが提供する修正済みのバージョンに更新
することで解決します。詳細は、TP-Linkが提供する情報を参照してください。

【2】サイボウズリモートサービスにリソース枯渇に至る脆弱性

情報源

Japan Vulnerability Notes JVN#87895771
サイボウズリモートサービスにおけるリソース枯渇に至る脆弱性
https://jvn.jp/jp/JVN87895771/

概要

サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース
枯渇に至る脆弱性があります。結果として、当該製品にログイン可能なユーザー
が、意図しない操作により対象サーバーのストレージ領域を消費し、サービス
運用妨害（DoS）状態を引き起こす可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ リモートサービス 4.0.0から4.0.3まで

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

【3】baserCMSに複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#53682526
baserCMS における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53682526/

概要

baserCMSユーザー会が提供するbaserCMSには、複数のクロスサイトスクリプ
ティングの脆弱性があります。結果として、当該製品の管理画面にアクセスし
たユーザーのWebブラウザー上で、任意のスクリプトが実行される可能性があ
ります。

対象となるバージョンは次のとおりです。

- baserCMS 4.7.2より前のバージョン

この問題は、該当する製品をbaserCMSユーザー会が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、baserCMSユーザー会が提供する
情報を参照してください。

【4】TyporaにJavaScriptコードの無効化処理が不十分な問題

情報源

Japan Vulnerability Notes JVN#26044739
Typora における JavaScript コードの無効化処理が不十分な問題
https://jvn.jp/jp/JVN26044739/

概要

Typoraには、編集内容に含まれるJavaScriptコードの一部に対して無効化処理
が行われない問題があります。結果として、当該製品を使用してファイルを開
いたときに、ファイルに含まれているJavaScriptコードが実行される可能性が
あります。

対象となるバージョンは次のとおりです。

- Typora 1.4.4より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

【5】オムロン製CX-Programmerに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92877622
オムロン製CX-Programmerにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92877622/

概要

オムロン株式会社が提供するCX-Programmerには、複数の脆弱性があります。
結果として、細工されたCXPファイルをユーザーに開かせることで、情報漏え
いが発生したり、任意のコードを実行されたりする可能性があります。

対象となるバージョンは次のとおりです。

- CX-Programmer Ver.9.77およびそれ以前のバージョン

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

【6】三菱電機製GOT2000シリーズのFTPサーバ機能に不適切な入力確認の脆弱性

情報源

Japan Vulnerability Notes JVNVU#95633416
三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
https://jvn.jp/vu/JVNVU95633416/

概要

三菱電機株式会社が提供するGOT2000シリーズのFTPサーバー機能には、不適切
な入力確認の脆弱性があります。結果として、FTPクライアントを使用してFTP
サーバー（GOT）にアクセス可能な攻撃者が細工したコマンドを送信すること
で、当該製品がサービス運用妨害（DoS）状態になる可能性があります。

対象となるバージョンは次のとおりです。

- GOT2000シリーズ
  - GT27モデル 01.39.000およびそれ以前
  - GT25モデル 01.39.000およびそれ以前
  - GT23モデル 01.39.000およびそれ以前

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会社
が提供する情報を参照してください。

【7】三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#97244961
三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU97244961/

概要

三菱電機株式会社が提供するFAエンジニアリングソフトウェア製品には、複数
の脆弱性があります。結果として、遠隔の第三者が当該製品のプロジェクトファ
イルに関する情報を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- GX Works3
- MX OPC UA Module Configurator-R

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新するか、回避策を適用することで解決します。詳細は、三菱電機株式会
社が提供する情報を参照してください。

■今週のひとくちメモ

○JSAC2023参加申し込み開始

2022年11月17日、JPCERT/CCは「JSAC2023」の参加申し込みを開始しました。
2023年1月25日（水）および26日（木）に開催される本カンファレンスは、日
本国内のセキュリティアナリストが一堂に会し、インシデント分析・対応に関
連する技術的な知見を共有することを目的に開催しているものです。

参加をご希望の場合は、必要事項をご記入いただき、電子メールにてお申し込
みください。申し込み締め切りは2023年1月17日(火) 23:59 JSTです。詳細は
JSAC2023ページをご確認ください。

参考文献 (日本語)

JPCERT/CC
JSAC2023
https://jsac.jpcert.or.jp/

JPCERT/CC
JSAC2023 -Registration-
https://jsac.jpcert.or.jp/registration.html

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2022-11-30号

<<< JPCERT/CC WEEKLY REPORT 2022-11-30 >>>

■11/20(日)〜11/26(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○JSAC2023参加申し込み開始

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次