JVNVU#90178687
SUBNET Solutions製PowerSYSTEM Centerにおける複数の脆弱性

SUBNET Solutionsが提供するPowerSYSTEM Centerには、複数の脆弱性が存在します。

• PowerSYSTEM Center PSC 2020 v5.21.x およびそれ以前

SUBNET Solutionsが提供するPowerSYSTEM CenterはAxiosを利用しているため、Axiosに存在する次の複数の脆弱性の影響を受けます。

• サーバサイドリクエストフォージェリ（CWE-918）－CVE-2020-28168
• 非効率な正規表現の使用（CWE-1333）－CVE-2021-3749
• クロスサイトリクエストフォージェリ（CWE-352）－CVE-2023-45857

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 制限されたホストやIPアドレスにリダイレクトで応答するURLを使用してプロキシをバイパスされる（CVE-2020-28168）
• 当該製品をサービス運用妨害（DoS）状態にされる（CVE-2021-3749）
• 任意のホスト向けリクエストのHTTPヘッダーX-XSRF-TOKENを細工され、機微な情報を取得される（CVE-2023-45857）

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートできない場合のワークアラウンドの適用を推奨しています。

詳細は、開発者に問い合わせるか、ICS Advisoryを確認してください。