JVNVU#94266166
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品はSilicon Labs製Zigbeeプロセッサを採用しており、Silicon Labsが公開したEmberZNetの複数の脆弱性の影響を受けます。

• Wiser iTRV2 すべてのバージョン
• Wiser iTRV3 すべてのバージョン
• Wiser RTR2 すべてのバージョン
• Wiser UFH すべてのバージョン
• Wiser 16A Electrical Heat Switch すべてのバージョン
• Wiser Boiler Relay すべてのバージョン
• Exxact cFMT 16a すべてのバージョン
• Elko cFMT 16a すべてのバージョン
• Odace cFMT 2a すべてのバージョン
• Merten cFMT 16a すべてのバージョン
• Merten cFMT 2a すべてのバージョン
• Wiser Power Micromodule すべてのバージョン
• Wiser FIP Micromodule すべてのバージョン
• Iconic, Wiser Connected Smart Dimmer すべてのバージョン
• Iconic, Wiser Connected Smart Switch, 2AX すべてのバージョン
• Iconic, Wiser Connected Smart Switch, 10AX すべてのバージョン
• Iconic, Connected AC Fan Controller すべてのバージョン
• Iconic, Connected Smart Socket すべてのバージョン
• Wiser Connected Application Module 1-Gang すべてのバージョン
• Wiser Connected Application Module 2-Gang すべてのバージョン
• Wiser Connected Push Button Dimmer すべてのバージョン
• Wiser Connected Push Button Switch すべてのバージョン
• Wiser Connected Push Button Shutter すべてのバージョン
• Wiser Connected Motion Dimmer すべてのバージョン
• Wiser Connected Motion Switch すべてのバージョン
• Wiser Connected Rotary Dimmer すべてのバージョン
• Connected Wireless Switch すべてのバージョン
• Micromodule Switch すべてのバージョン
• Micromodule Dimmer すべてのバージョン
• Micromodule Shutter すべてのバージョン
• Connected Single Socket Outlet すべてのバージョン
• Connected Double Socket Outlet すべてのバージョン
• Fuga Connected Socket Outlet すべてのバージョン
• Mureva EV Link すべてのバージョン

Schneider Electricが提供する複数の製品は、次のSilicon Labs製EmberZNetの複数の脆弱性の影響を受けます。

• 古典的バッファーオーバーフロー（CWE-120）
  • CVE-2024-6350、CVE-2024-6351、CVE-2024-6352、CVE-2024-10106
• リソースの枯渇（CWE-400）
  • CVE-2024-7322

攻撃者によって細工されたデバイスが当該製品と同一ネットワークに接続された場合、サービス運用妨害（DoS）状態を引き起こされる可能性があります。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、ICS Advisoryおよび開発者が提供する情報を確認してください。