JVNVU#94105329
複数のJohnson Controls製品における複数の脆弱性

Johnson Controlsが提供する複数の製品には、複数の脆弱性が存在します。

• PowerG バージョン 53.02およびそれ以前
• IQHub すべてのバージョン
• IQPanel 2 すべてのバージョン
• IQPanel 2+ すべてのバージョン
• IQPanel 4 バージョン 4.6.1より前

Johnson Controlsが提供する複数の製品には、次の複数の脆弱性が存在します。

• 重要な情報の平文送信（CWE-319）
  • CVE-2025-61738
• 暗号化におけるナンスおよび鍵ペアの再利用（CWE-323）
  • CVE-2025-61739
• 暗号論的強度が不十分なPRNGの使用（CWE-338）
  • CVE-2025-26379
• 送信元・提供元の確認をしていない（CWE-346）
  • CVE-2025-61740

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• ネットワークキーをキャプチャされ、当該製品のネットワーク上の暗号化パケットを読み書きされる（CVE-2025-61738）
• リプレイ攻撃を行われたり、キャプチャしたパケットを復号されたりする（CVE-2025-61739）
• 暗号化されたパケットを読み取られたり、挿入されたりする（CVE-2025-26379）
• 当該デバイスをサービス運用妨害（DoS）状態にされたり、設定を改ざんされたりする（CVE-2025-61740）

アップデートする
開発者は、アップデートを提供しています。
詳細は、ICS Advisoryおよび開発者が提供する情報を確認してください。