JVNVU#93839921
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2023-28388

• MACH PS700 v2

• XMC20 R15A およびそれ以前（すべてのサブバージョンを含む）
• XMC20 R15B
• XMC20 R16A
• XMC20 R16B Revision C（cent2_r16b04_02、co5ne_r16b04_02）およびそれ以前（すべてのサブバージョンを含む）

• XMC20 R16Bより前のバージョン
• ECST 16.2.1より前のバージョン
• UNEM R15A（すべての旧システムリリース版）
• UNEM R15B PC4 およびそれ以前
• UNEM: R16A（すべての旧システムリリース版）
• UNEM R16B PC2 およびそれ以前

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

• ファイル検索パスの制御不備（CWE-427）
  • CVE-2023-28388
• パストラバーサル（CWE-23）
  • CVE-2024-2461
• 証明書検証におけるホスト情報の検証不備（CWE-297）
  • CVE-2024-2462

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• ローカルの低権限ユーザーによって、権限を昇格される（CVE-2023-28388）
• 通常ではアクセスできないファイルやディレクトリにアクセスされる（CVE-2024-2461）
• クライアントとサーバー間のデータ交換を傍受されたり、改ざんされたりする（CVE-2024-2462）

CVE-2023-28388
ワークアラウンドを実施する
開発者は、パッチスクリプトをインストールして、脆弱性の原因となっているソフトウェアを安全に削除することを推奨しています。
詳細は、開発者が提供する情報（8DBD000208）を確認してください。

CVE-2024-2461
アップデートする
開発者は、本脆弱性に対応したXMC20 R16B Revision Dを提供しています。
なお、XMC20 R15AおよびXMC20 R16Aのサポートは既に終了しているとのことです。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報（8DBD000202）を確認してください。

CVE-2024-2462
アップデートする
開発者は、本脆弱性に対応したXMC20 R16B、ECST_16.2.1、UNEM R15B PC5、UNEM R16B PC3を提供しています。
なお、UNEM R16AおよびUNEM R15Aのサポートは既に終了しているとのことです。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報（8DBD000203）を確認してください。