公開日:2025/01/16 最終更新日:2025/01/16
JVNVU#90536430
Hitachi Energy製FOXMAN-UNおよびUNEMにおける複数の脆弱性
Hitachi Energyが提供するFOXMAN-UNおよびUNEMには、複数の脆弱性が存在します。
CVE-2024-2013、CVE-2024-2012、CVE-2024-2011、CVE-2024-28021、CVE-2024-28023
- FOXMAN-UN R16B PC2
- FOXMAN-UN R15B PC4
- UNEM R16B PC2
- UNEM R15B PC4
- FOXMAN-UN R16B
- FOXMAN-UN R15B
- UNEM R16B
- UNEM R15B
- FOXMAN-UN R16A
- FOXMAN-UN R15A
- UNEM R16A
- UNEM R15A
- すべての旧システムリリース版
Hitachi Energyが提供するFOXMAN-UNおよびUNEMには、次の複数の脆弱性が存在します。
- 代替パスまたはチャネルを使用した認証回避(CWE-288)
- CVE-2024-2013
- 引数インジェクション(CWE-88)
- CVE-2024-2012
- ヒープベースのバッファオーバーフロー(CWE-122)
- CVE-2024-2011
- 不適切なユーザー管理(CWE-286)
- CVE-2024-28020
- 不適切な証明書検証(CWE-295)
- CVE-2024-28021
- 過度な認証試行の不適切な制限(CWE-307)
- CVE-2024-28022
- ハードコードされたパスワードの使用(CWE-259)
- CVE-2024-28023
- 重要な情報の平文保存(CWE-312)
- CVE-2024-28024
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 認証を回避され、当該製品のサービスと通信される(CVE-2024-2013)
- 当該製品上で意図しないコマンドやコードを実行され、機微な情報の読み取りや改ざんされたり、予期せぬ動作を引き起こされる(CVE-2024-2012)
- 当該製品をサービス運用妨害(DoS)状態にされたり、任意のコードを実行されたりする(CVE-2024-2011)
- 高権限ユーザーによって、サーバーや他サービスへアクセスされる(CVE-2024-28020)
- 信頼されたエンティティになりすまされ、機密性と完全性を侵害される(CVE-2024-28021)
- 任意回数の認証試行によって、他コンポーネントにアクセスされる(CVE-2024-28022)
- 機微な情報を取得されたり、任意のコードを実行されたりする(CVE-2024-28023)
- 他の制御領域にアクセスされる(CVE-2024-28024)
CVE-2024-2013、CVE-2024-2012、CVE-2024-2011、CVE-2024-28021、CVE-2024-28023
アップデートする
開発者は、アップデートを提供しています。
CVE-2024-28020、CVE-2024-28022、CVE-2024-28024
ワークアラウンドを実施する
開発者は、緩和策の適用を推奨しています。
開発者によるとUNEM R16A、UNEM R15Aおよびすべての旧システムリリース版についてはサポートを終了しているため、
UNEM R16B PC4またはR15B PC5にアップデートし、緩和策を適用することを推奨しています。
なお、2025年1月15日時点で本脆弱性に対応したFOXMAN-UN R16B PC3およびUNEM R16B PC3はリリース済み、
FOXMAN-UN R15B PC5およびUNEM R15B PC5はリリース予定となっています。
詳細は、開発者が提供する情報を確認してください。
