JVNVU#95467418
複数のLOYTEC electronics製品における複数の脆弱性

LOYTEC electronicsが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2023-46380、CVE-2023-46381、CVE-2023-46382

• LINX-212 ファームウェア 6.2.4
• LVIS-3ME12-A1 ファームウェア 6.2.2
• LIOB-586 ファームウェア 6.2.3

• LINX Configurator 7.4.10

• LINX-212 ファームウェア 6.2.4
• LINX-151 ファームウェア 7.2.4

LOYTEC electronicsが提供する複数の製品には、次の複数の脆弱性が存在します。

• 重要な情報の平文送信（CWE-319）－CVE-2023-46380、CVE-2023-46382、CVE-2023-46383、CVE-2023-46385
• 重要な機能に対する認証の欠如（CWE-306）－CVE-2023-46381
• 重要な情報の平文保存（CWE-312）－CVE-2023-46384、CVE-2023-46386、CVE-2023-46388
• 不適切なアクセス制御（CWE-284）－CVE-2023-46387、CVE-2023-46389

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• パスワード変更要求時の送信情報を取得される（CVE-2023-46380）
• 既存プロジェクトの編集や新規プロジェクトの作成をされる（CVE-2023-46381）
• ログイン時に送信した情報を取得される（CVE-2023-46382）
• ユーザ名とパスワードを取得され、当該デバイスの構成を制御される（CVE-2023-46383）
• 管理者パスワードを取得され、ログイン時の認証を回避される（CVE-2023-46384）
• 管理者パスワードを取得され、当該デバイスの構成を制御される（CVE-2023-46385）
• smtpクライアントのアカウントの認証情報を取得され、電子メールの認証を回避される（CVE-2023-46386、CVE-2023-46388）
• LOYTECデバイスのデータポイント構成に関する機微な情報を取得される（CVE-2023-46387）
• LINXの構成に関する機微な情報を取得される（CVE-2023-46389）

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報およびICS Advisoryを確認してください。