JVNVU#92181763
複数のABB製Artic製品における複数の脆弱性

ABBが提供する複数のArtic製品には、複数の脆弱性が存在します。

CVE-2024-6387

• Arctic ARG600 ファームウェアバージョン 3.4.10、3.4.11、3.4.12、3.4.13
• Arctic ARC600 ファームウェアバージョン 3.4.10、3.4.11、3.4.12、3.4.13
• Arctic ARR600 ファームウェアバージョン 3.4.10、3.4.11、3.4.12、3.4.13
• Arctic ARP600 ファームウェアバージョン 3.4.10、3.4.11、3.4.12、3.4.13

• Arctic Wireless Gateway ARG600 ワイヤレスモデムモジュールTelit PLS62-W搭載のすべてのバージョン
• Arctic Wireless Gateway ARC600 ワイヤレスモデムモジュールTelit PLS62-W搭載のすべてのバージョン
• Arctic Wireless Gateway ARR600 ワイヤレスモデムモジュールTelit PLS62-W搭載のすべてのバージョン

ABBが提供する複数のArtic製品には、次の複数の脆弱性が存在します。

• 古典的バッファーオーバーフロー（CWE-120）
  • CVE-2023-47610
• 不適切な権限管理（CWE-269）
  • CVE-2023-47611
• 認可されていないActorへの機微な情報の漏えい（CWE-200）
  • CVE-2023-47612、CVE-2023-47614、CVE-2023-47615、CVE-2023-47616
• パストラバーサル（CWE-22）
  • CVE-2023-47613
• 競合状態（CWE-362）
  • CVE-2024-6387

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の攻撃者によって、細工したショートメッセージ（SMS）を送信され、当該システム上で任意のコードを実行される（CVE-2023-47610）
• ローカルの低権限ユーザーによって、細工したショートメッセージ（SMS）を送信され、当該システム上で権限昇格される（CVE-2023-47611）
• 物理アクセス可能な攻撃者によって、ワイヤレスモデムモジュール上の隠しファイルや隠しディレクトリを含む任意のファイルおよびディレクトリへの読み取り／書き込みアクセス権を取得される（CVE-2023-47612）
• ローカルの低権限ユーザーによって、仮想ディレクトリ外のワイヤレスモデムモジュール上の保護されたファイルへの読み取り／書き込みアクセス権を取得される（CVE-2023-47613）
• ローカルの低権限ユーザーによって、ワイヤレスモデムモジュール上の隠された仮想パスおよびファイル名を漏えいされる（CVE-2023-47614）
• ローカルの低権限ユーザーによって、ワイヤレス モデム モジュール上の機微なデータにアクセスされる（CVE-2023-47615）
• 物理アクセス可能な攻撃者によって、ワイヤレス モデム モジュール上の機微なデータにアクセスされる（CVE-2023-47616）
• 遠隔の攻撃者によって、認可されていないリモートコードをroot権限で実行される（CVE-2024-6387）

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報を確認してください。