JVNVU#95341726
Schneider Electric製Easergy P5およびP3における複数の脆弱性

Schneider Electric社が提供するEasergy P5およびP3には、複数の脆弱性が存在します。

• Easergy P5 ファームウェア v01.401.102より前のバージョン
• Easergy P3 ファームウェア v30.205より前のバージョン

Schneider Electric社が提供するEasergy P5およびP3は中電圧用の保護継電器です。Easergy P5およびP3には、複数の脆弱性が存在します。

• ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-22722

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.5

• バッファオーバーフロー (CWE-120) - CVE-2022-22723

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.8

• バッファオーバーフロー (CWE-120) - CVE-2022-22725

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.8

• バッファオーバーフロー (CWE-120) - CVE-2022-34756

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.8

• 解読される恐れの高い暗号アルゴリズムの使用 (CWE-327) - CVE-2022-34757

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H

  基本値: 6.7

• 不適切な入力確認 (CWE-20) - CVE-2022-34758

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:L

  基本値: 5.1

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にアクセス可能な第三者によって、ハードコードされたSSH鍵を取得された場合、設定情報に関連するネットワークトラフィックを観測、改ざんされ、情報漏えいが発生する - CVE-2022-22722
• 当該製品にアクセス可能な第三者によって、特別に細工されたパケットを送信されることで、Easergy P5のプログラムがクラッシュしたり、任意のコードを実行されたりする - CVE-2022-22723
• 当該製品にアクセス可能な第三者によって、特別に細工されたパケットを送信されることで、Easergy P3のプログラムがクラッシュしたり、任意のコードを実行されたりする - CVE-2022-22725
• 当該製品にアクセス可能な第三者によって、コード実行されたり、当該デバイスのWeb HMIに利用されるHTTPのスタックがクラッシュさせられる - CVE-2022-34756
• 当該製品にアクセス可能な第三者によって、Easergy Proソフトウェアと当該デバイス間のSSH通信内容を解読される - CVE-2022-34757
• 高権限ユーザによって、デバイスウォッチドック機能を無効にされる - CVE-2022-34758

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策バージョンとして以下のバージョンをリリースしています。

• Easergy P5 ファームウェア v01.402.101
• Easergy P3 ファームウェア v30.205

• GOOSEサービスを停止する。GOOSEを使用する必要がある場合、安全なローカルエリアネットワークの中でのみ使用する