公開日:2025/04/04 最終更新日:2025/04/04
JVNVU#91850850
Hitachi Energy製RTU500シリーズおよびTRMTrackerにおける複数の脆弱性
Hitachi Energyが提供するRTU500シリーズおよびTRMTrackerには、複数の脆弱性が存在します。
CVE-2024-10037
- RTU500シリーズ CMUファームウェアバージョン12.0.1から12.0.14
- RTU500シリーズ CMUファームウェアバージョン12.2.1から12.2.12
- RTU500シリーズ CMUファームウェアバージョン12.4.1から12.4.11
- RTU500シリーズ CMUファームウェアバージョン12.6.1から12.6.10
- RTU500シリーズ CMUファームウェアバージョン12.7.1から12.7.7
- RTU500シリーズ CMUファームウェアバージョン13.2.1から13.2.7
- RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
- RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
- RTU500シリーズ CMUファームウェアバージョン13.6.1
- RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
- RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
- RTU500シリーズ CMUファームウェアバージョン13.6.1
- RTU500シリーズ CMUファームウェアバージョン13.7.1
- RTU500シリーズ CMUファームウェアバージョン13.4.1から13.4.4
- RTU500シリーズ CMUファームウェアバージョン13.5.1から13.5.3
- RTU500シリーズ CMUファームウェアバージョン13.6.1
- RTU500シリーズ CMUファームウェアバージョン13.7.1から13.7.4
- RTU500シリーズ CMUファームウェアバージョン13.7.1から13.7.4
- TRMTracker バージョン6.2.04およびそれ以前
- TRMTracker バージョン6.3.0および6.3.01
Hitachi Energyが提供するRTU500シリーズおよびTRMTrackerには、次の複数の脆弱性が存在します。
- NULLポインタ参照(CWE-476)
- CVE-2024-10037、CVE-2024-11499
- 不十分なリソースプール(CWE-410)
- CVE-2024-12169
- 共有リソースへのアクセスに対する同期制御の欠如(CWE-820)
- CVE-2025-1445
- LDAP インジェクション(CWE-90)
- CVE-2025-27631
- インジェクション(CWE-74)
- CVE-2025-27632
- クロスサイトスクリプティング(CWE-79)
- CVE-2025-27633
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- CMUがサービス運用妨害(DoS)状態にされる(CVE-2024-10037)
- CMUの再起動を実行される(CVE-2024-11499、CVE-2024-12169)
- 可用性に影響を受ける(CVE-2025-1445)
- Webサイト上のデータの読み取りや更新が可能なリモートコマンドを実行される(CVE-2025-27631)
- Webサイトの改ざんなどをされる(CVE-2025-27632)
- 機密性および完全性が損なわれる(CVE-2025-27633)
CVE-2024-10037、CVE-2024-11499、CVE-2024-12169、CVE-2025-1445
アップデートする
アップデートが提供されている製品は適用してください。提供予定製品は、利用可能になり次第適用してください。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報を確認してください。
CVE-2024-27631、CVE-2024-27632、CVE-2024-27633
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報を確認してください。
-
ICS Advisory | ICSA-25-093-01
Hitachi Energy RTU500 Series -
ICS Advisory | ICSA-25-093-02
Hitachi Energy TRMTracker