制限ディレクトリCWE-22
へのパス名の不適切な制限PLCnext Engineerプロジェクト(.pcwex)のビルド設定は、リモートコードの実行につながるような方法で操作できます。 内部のファイルを操作できるようにするには、攻撃者がPLCnext Engineerプロジェクトにアクセスする必要があります。 さらに、リモートコードのファイルは、PLCnext Engineerを実行するPCがアクセスできる場所に転送する必要があります。 PLCnext Engineerが操作されたプロジェクトの構築プロセスを実行すると、リモートコードを実行できます。
Team82 は、世界中のサイバーセキュリティエコシステムの安全性を確保するために、影響を受けるベンダーに、調整されたタイムリーな方法で脆弱性を個人的に報告することにコミットしています。 ベンダーおよび研究コミュニティと関わりを持つために、 Team82 は、当社の協調的開示ポリシーをダウンロードして共有するようお客様にお願いしています。Team82 は、製品およびサービスの脆弱性を発見した場合、この報告および開示プロセスに従います。
