JVNVU#97897993
Honeywell製Experionにおける複数の脆弱性

Honeywellが提供するExperionには、複数の脆弱性が存在します。

• Experion PKS R520.2より前のバージョン
• Experion LX R520.2より前のバージョン
• Experion PlantCruise R520.2より前のバージョン

Honeywellが提供するExperionには、次の複数の脆弱性が存在します。

• ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2023-23585、CVE-2023-24474
• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2023-25078
• 予期しないテータスコードもしくは戻り値 (CWE-394) - CVE-2023-25948
• リソースの枯渇 (CWE-400) - CVE-2023-26597
• 出力に対する不適切なエンコード処理もしくはエスケープ処理 (CWE-116) - CVE-2023-24480
• 信頼できないデータのデシリアライゼーション (CWE-502) - CVE-2023-25770
• データの信頼性確認が不十分 (CWE-345) - CVE-2023-25178
• 不適切な比較 (CWE-697) - CVE-2023-22435

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

• 細工されたメッセージを処理させられ、サービス運用妨害（DoS）状態にされる - CVE-2023-23585、CVE-2023-26597、CVE-2023-22435、CVE-2023-24474
• 細工されたメッセージを処理させられ、サービス運用妨害（DoS）状態にされたり、コードを実行される - CVE-2023-25078
• 細工されたメッセージに応答するエラーメッセージを生成され、設定データを窃取される - CVE-2023-25948
• サーバからのメッセージをデコード処理させられ、サービス運用妨害（DoS）状態にされる - CVE-2023-24480
• 細工されたメッセージに応答するエラーメッセージを生成され、サービス運用妨害（DoS）状態にされる - CVE-2023-25770
• 細工されたファームウェアがロードされ、コードを実行される - CVE-2023-25178

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。