JVNVU#94836909
複数のEmerson製品における複数の脆弱性

Emersonが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2022-30263

• PAC Machine Edition 全てのバージョン
• PACSystem RXi 全てのバージョン
• PACSystem RX3i 全てのバージョン
• PACSystem RSTi-EP 全てのバージョン
• PACSystem VersaMax 全てのバージョン
• Fanuc VersaMax 全てのバージョン

• PAC Machine Edition 全てのバージョン
• PACSystem RX3i 全てのバージョン
• PACSystem RSTi-EP 全てのバージョン
• PACSystem VersaMax 全てのバージョン

• PACSystem RXi 全てのバージョン
• PACSystem RSTi-EP 全てのバージョン
• Fanuc VersaMax 全てのバージョン

• PACSystem RXi 全てのバージョン
• PACSystem RX3i 全てのバージョン
• PACSystem RSTi-EP 全てのバージョン
• Fanuc VersaMax 全てのバージョン

• Ovation 3.8.0 Feature Pack 1およびそれ以前

Emersonが提供する複数の製品には、次の複数の脆弱性が存在します。

• 重要な情報の平文送信（CWE-319）－CVE-2022-30263
• データの信頼性確認が不十分（CWE-345）－CVE-2022-30268、CVE-2022-30267
• 認証情報の不十分な保護（CWE-522）－CVE-2022-30266
• ダウンロードしたコードの完全性検証不備（CWE-494）－CVE-2022-30265
• 重要な機能に対する認証の欠如（CWE-306）－CVE-2022-29966

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 攻撃者によって、平文で通信する機微な情報を取得され、PCLを制御される（CVE-2022-30263）
• 攻撃者によって、悪意のあるファームウェアイメージを送られ、サービス運用妨害（DoS）状態を引き起こされたり、リモートからコードを実行されたりする（CVE-2022-30268、CVE-2022-30267）
• 攻撃者によって、認証情報を取得され、ファームウェアをアップグレードされたりダウングレードされたりする（CVE-2022-30266）
• PLCにダウンロードされる制御ロジックが暗号学的に認証されていない（CVE-2022-30265）
• 攻撃者によって、コントローラの設定を変えられたり、サービス運用妨害（DoS）状態を引き起こされたりする（CVE-2022-29966）

CVE-2022-29966、CVE-2022-30267
アップデートする
開発者は、Ovation 3.8.0 Feature Pack 3へのアップデートを推奨しています。

CVE-2022-30263、CVE-2022-30265、CVE-2022-30266、CVE-2022-30268
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。