JVNVU#95756986
複数のHoneywell製品における複数の脆弱性

Honeywellが提供する複数の製品には、複数の脆弱性が存在します。

• Experion PKS R510.2 HF14より前のバージョン
• Experion PKS R511.5 TCU4 HF4より前のバージョン
• Experion PKS R520.1 TCU5より前のバージョン
• Experion PKS R520.2 TCU4 HF2より前のバージョン
• Experion LX R511.5 TCU4 HF4より前のバージョン
• Experion LX R520.1 TCU5より前のバージョン
• Experion LX R520.2 TCU4 HF2より前のバージョン
• PlantCruise by Experion R511.5 TCU4 HF4より前のバージョン
• PlantCruise by Experion R520.1 TCU5より前のバージョン
• PlantCruise by Experion R520.2 TCU4 HF2より前のバージョン
• Safety Manager R15xおよびR16xからR162.10までのバージョン
• Safety Manager SC バージョンR210.X、R211.1、R211.2、R212.1

Honeywellが提供する複数の製品には、次の複数の脆弱性が存在します。

• 危険なメソッドや機能の公開（CWE-749）－CVE-2023-5389
• 絶対パストラバーサル（CWE-36）－CVE-2023-5390
• スタックベースのバッファオーバーフロー（CWE-121）－CVE-2023-5407、CVE-2023-5395、CVE-2023-5401、CVE-2023-5403
• 不必要な情報を表示するデバッグメッセージ（CWE-1295）－CVE-2023-5392
• 境界外書き込み（CWE-787）－CVE-2023-5406、CVE-2023-5405
• ヒープベースのバッファオーバーフロー（CWE-122）－CVE-2023-5400、CVE-2023-5404
• IPアドレス0.0.0.0へのバインド（CWE-1327）－CVE-2023-5398
• 不適切な入力検証（CWE-20）－CVE-2023-5397
• 不適切な長さの値によるバッファへのアクセス（CWE-805）－CVE-2023-5396
• メモリバッファ―エラー（CWE-119）－CVE-2023-5394
• レングスパラメーターの不整合による不適切な処理（CWE-130）－CVE-2023-5393

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• Experion controllersまたはSMSC S300上のファイルを変更され、結果として悪意のあるアプリケーションが実行される（CVE-2023-5389）
• Experion controllersまたはSMSC S300上のファイルを読み取られる（CVE-2023-5390）
• 細工されたメッセージを介して、サービス運用妨害（DoS）状態を引き起こされたり、リモートからコードを実行されたりする（CVE-2023-5407、CVE-2023-5406、CVE-2023-5400、CVE-2023-5404、CVE-2023-5395、CVE-2023-5401、CVE-2023-5403、CVE-2023-5397、CVE-2023-5396、CVE-2023-5394、CVE-2023-5393）
• 当該製品のメモリからネットワーク経由で機微な情報を取得される（CVE-2023-5392）
• 当該製品でのエラー発生時に情報を窃取される（CVE-2023-5405）
• 細工されたメッセージを介して、サービス運用妨害（DoS）状態を引き起こされる（CVE-2023-5398）

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。