米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月13日(米国時間)、「Rockwell Automation Connected Components Workbench|CISA」において、Rockwell Automation Connected Components Workbenchに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってリモートコード実行、認証バイパス、特権昇格などを実施される危険性がある。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Rockwell Automation Connected Components Workbench v12.00.00およびこれより前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Rockwell Automation Connected Components Workbench v13.00.00およびこれ以降のバージョン
  • Rockwell Automation Connected Components Workbench|CISA

    Rockwell Automation Connected Components Workbench|CISA

脆弱性は深刻度がCVSSv3スコア8.6で重要に分類されており注意が必要。該当するプロダクトを使用している場合には推奨されているバージョンへアップグレードするか、アップグレードが難しい場合には緩和策を実施することが推奨されている。