JVNVU#91762971
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2021-22763

• PM5560 v2.7.8より前のバージョン
• PM5561 v10.7.3より前のバージョン
• PM5562 v4.3.5より前のバージョン
• PM5563 v2.7.8より前のバージョン
• PM8ECC すべてのバージョン

• PM5560 v2.7.8より前のバージョン
• PM5561 v10.7.3より前のバージョン
• PM5562 v4.3.5より前のバージョン
• PM5563 v2.7.8より前のバージョン

• PowerLogic P5 v01.500.104およびそれ以前のバージョン

• Modicon M340 CPU (part numbers BMXP34*) SV3.60より前のバージョン
• Modicon M580 CPU (part numbers BMEP* and BMEH* excluding M580 CPU Safety) SV4.20より前のバージョン
• Modicon M580 CPU Safety SV4.21より前のバージョン
• Modicon MC80 (part numbers BMKC80) すべてのバージョン
• Modicon Momentum Unity M1E Processor (171CBU*) すべてのバージョン
• EcoStruxure Control Expert v16.0より前のバージョン
• EcoStruxure Process Expert v2023より前のバージョン

• EcoStruxure Control Expert v16.0より前のバージョン
• EcoStruxure Process Expert v2023より前のバージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 脆弱なパスワードリカバリ（CWE-640）－CVE-2021-22763
• 不適切な認証（CWE-287）－CVE-2021-22764
• 解読される恐れの高い暗号アルゴリズムの使用（CWE-327）－CVE-2024-5559
• 通信チャネルで送受信するメッセージに対する完全性の検証不備（CWE-924）－CVE-2023-6408
• ハードコードされた認証情報の使用（CWE-798）－CVE-2023-6409
• 認証情報の不十分な保護（CWE-522）－CVE-2023-27975

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• アクセス権限を不正に取得され、正当なシステムユーザーの利用を妨害される（CVE-2021-22763）
• 機微な情報を取得されたり、任意のコードを実行されたりする（CVE-2021-22764）
• サービス運用妨害（DoS）状態にされ、機器を再起動させられたり、リレーを制御されたりする（CVE-2024-5559）
• サービス運用妨害（DoS）状態にされたり、機密性を損なわれたり、中間者攻撃によって完全性を脅かされたりする（CVE-2023-6408）
• 当該製品でファイルを開いた際、パスワードで保護されたプロジェクトファイルへ不正にアクセスされる（CVE-2023-6409）
• エンジニアリングワークステーションのメモリーを改ざんされ、当該製品のプロジェクトファイルへ不正にアクセスされる（CVE-2023-27975）

アップデートする
開発者は、PM8ECC、Modicon MC80 (part numbers BMKC80)およびModicon Momentum Unity M1E Processor (171CBU*)以外の製品にアップデートを提供しています。

ワークアラウンドを実施する
開発者は、PM8ECC、Modicon MC80 (part numbers BMKC80)およびModicon Momentum Unity M1E Processor (171CBU*)にワークアラウンドの適用を推奨しています。
なお、PM8ECCは既にサービスが終了しサポートされないとのことです。

詳細は、開発者が提供する情報を確認してください。