JVNVU#96129393
PiiGAB製M-Bus SoftwarePack 900Sにおける複数の脆弱性

PiiGABが提供するM-Bus SoftwarePack 900Sには、複数の脆弱性が存在します。

• M-Bus SoftwarePack 900S

PiiGABが提供するM-Bus SoftwarePack 900Sには、次の複数の脆弱性が存在します。

• コードインジェクション (CWE-94) - CVE-2023-36859
• 過度な認証試行に対する不適切な制限 (CWE-307) - CVE-2023-33868
• 認証情報の保護なしでの転送 (CWE-523) - CVE-2023-31277
• ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-35987
• 認証情報の平文保存 (CWE-256) - CVE-2023-35765
• クロスサイトスクリプティング (CWE-79) - CVE-2023-32652
• 不十分なパスワード強度 (CWE-521) - CVE-2023-34995
• 強度が不十分なパスワードハッシュの使用 (CWE-916) - CVE-2023-34433
• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2023-35120

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 低権限ユーザによって、任意のコマンドを挿入される - CVE-2023-36859
• 遠隔の第三者によって、HTTPベーシック認証に対してブルートフォース攻撃をされる - CVE-2023-33868
• 遠隔の第三者によって、認証情報を窃取される - CVE-2023-31277、CVE-2023-35987、CVE-2023-34433
• 低権限ユーザによって、管理者の認証情報を窃取される - CVE-2023-35765
• 低権限ユーザによって、クロスサイトスクリプティング攻撃をされる - CVE-2023-32652
• 遠隔の第三者によって、パスワードに対してブルートフォース攻撃をされる - CVE-2023-34995
• 遠隔の第三者によって、コマンドを実行される - CVE-2023-35120

アップデートする
開発者は、アップデートを提供しています。
詳細は、CISAまたは開発者が提供する情報をご確認ください。