JVNVU#97281769
複数のPhoenix Contact製品における複数の脆弱性

Phoenix Contact社が提供する複数の製品には、複数の脆弱性が存在します。

CVE-2022-31800

• クラシックラインの産業用コントローラの以下のバージョン
  • ILC 1x0 すべてのバリアント
  • ILC 1x1 すべてのバリアント
  • ILC 1x1 GSM/GPRS - 2700977
  • ILC 3xx すべてのバリアント
  • AXC 1050 - 2700988
  • AXC 1050 XC - 2701295
  • AXC 3050 - 2700989
  • RFC 480S PN 4TX - 2404577
  • RFC 470 PN 3TX - 2916600
  • RFC 470S PN 3TX - 2916794
  • RFC 460R PN 3TX - 2700784
  • RFC 460R PN 3TX-S - 1096407
  • RFC 430 ETH-IB - 2730190
  • RFC 450 ETH-IB - 2730200
  • PC WORX SRT - 2701680
  • PC WORX RT BASIC - 2700291
  • FC 350 PCI ETH - 2730844

• 以下に示すソフトウェア開発キットProConOSのすべてのバージョン
  • ProConOS
  • ProConOS eCLR
  • MULTIPROG

• クラシックラインの産業用コントローラの以下のバージョン
  • ILC 1x0 すべてのバリアント
  • ILC 1x1 すべてのバリアント
  • ILC 3xx すべてのバリアント
  • AXC 1050 - 2700988
  • AXC 1050XC - 2701295
  • AXC 3050 - 2700989
  • RFC 480S - 2404577
  • RFC 470S - 2916794
  • RFC 460R - 2700784
  • RFC 430 ETH - 2730190
  • RFC 450 ETH - 2730200
  • PC WORX SRT - 2701680
  • PC WORX RT BASIC - 2700291
  • FC 350 PCI ETH - 2730844

Phoenix Contact社が提供する複数の製品には、次の複数の脆弱性が存在します。

• データの信頼性確認が不十分 (CWE-345) - CVE-2022-31800、CVE-2022-31801
• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2019-9201

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、対象の装置上で任意の不正なコードを実行される - CVE-2022-31800
• 遠隔の第三者によって、任意の不正なコードを使ってロジックをアップロードされる - CVE-2022-31801
• 遠隔の第三者によって、構成の変更やダウンロード、サービスの開始や停止、ファームウェアの更新や変更、デバイスのシャットダウンが行われる - CVE-2019-9201

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報をご確認ください。