JVNVU#91850850
Hitachi Energy製RTU500シリーズおよびTRMTrackerにおける複数の脆弱性

Hitachi Energyが提供するRTU500シリーズおよびTRMTrackerには、複数の脆弱性が存在します。

CVE-2024-10037

• RTU500シリーズ CMUファームウェアバージョン12.0.1から12.0.14
• RTU500シリーズ CMUファームウェアバージョン12.2.1から12.2.12
• RTU500シリーズ CMUファームウェアバージョン12.4.1から12.4.11
• RTU500シリーズ CMUファームウェアバージョン12.6.1から12.6.10
• RTU500シリーズ CMUファームウェアバージョン12.7.1から12.7.7
• RTU500シリーズ CMUファームウェアバージョン13.2.1から13.2.7
• RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
• RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
• RTU500シリーズ CMUファームウェアバージョン13.6.1

• RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
• RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
• RTU500シリーズ CMUファームウェアバージョン13.6.1
• RTU500シリーズ CMUファームウェアバージョン13.7.1

• RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
• RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
• RTU500シリーズ CMUファームウェアバージョン13.6.1
• RTU500シリーズ CMUファームウェアバージョン13.7.1から13.7.4

• RTU500シリーズ CMUファームウェアバージョン13.7.1から13.7.4

• TRMTracker バージョン6.2.04およびそれ以前
• TRMTracker バージョン6.3.0および6.3.01

Hitachi Energyが提供するRTU500シリーズおよびTRMTrackerには、次の複数の脆弱性が存在します。

• NULLポインタ参照（CWE-476）
  • CVE-2024-10037、CVE-2024-11499
• 不十分なリソースプール（CWE-410）
  • CVE-2024-12169
• 共有リソースへのアクセスに対する同期制御の欠如（CWE-820）
  • CVE-2025-1445
• LDAP インジェクション（CWE-90）
  • CVE-2025-27631
• インジェクション（CWE-74）
  • CVE-2025-27632
• クロスサイトスクリプティング（CWE-79）
  • CVE-2025-27633

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• CMUがサービス運用妨害（DoS）状態にされる（CVE-2024-10037）
• CMUの再起動を実行される（CVE-2024-11499、CVE-2024-12169）
• 可用性に影響を受ける（CVE-2025-1445）
• Webサイト上のデータの読み取りや更新が可能なリモートコマンドを実行される（CVE-2025-27631）
• Webサイトの改ざんなどをされる（CVE-2025-27632）
• 機密性および完全性が損なわれる（CVE-2025-27633）

CVE-2024-10037、CVE-2024-11499、CVE-2024-12169、CVE-2025-1445
アップデートする
アップデートが提供されている製品は適用してください。提供予定製品は、利用可能になり次第適用してください。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。

CVE-2024-27631、CVE-2024-27632、CVE-2024-27633
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。