JVNVU#92990931
Emerson製DeltaVにおける複数の脆弱性

Emerson社が提供するDeltaVには、複数の脆弱性が存在します。

• DeltaV Mシリーズ すべてのバージョン
• DeltaV Sシリーズ すべてのバージョン
• DeltaV Pシリーズ すべてのバージョン
• DeltaV SIS すべてのバージョン
• DeltaV CIOC/EIOC/WIOC IO cards すべてのバージョン

Emerson社が提供するDeltaVには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2022-29957
• ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-29962、CVE-2022-29963、CVE-2022-29964
• データの信頼性確認が不十分 (CWE-345) - CVE-2022-30260
• 非推奨暗号アルゴリズムの使用 (CWE-327) - CVE-2022-29965

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 隣接するネットワーク上の第三者によって、認証のない機能を呼び出されたり、サービス拒否（DoS）状態にされる - CVE-2022-29957
• ローカルのユーザによって、ハードコードされたFTPの資格情報を悪用される - CVE-2022-29962
• 隣接するネットワーク上の高特権ユーザによって、ハードコードされたTelnetの資格情報を悪用される - CVE-2022-29963
• ローカルのユーザによって、ハードコードされたSSHの資格情報を悪用される - CVE-2022-29964
• ローカルの高権限ユーザによって、細工したファームウェアイメージを強要されたり、コードを実行されたり、サービス拒否（DoS）状態にされる - CVE-2022-30260
• 隣接するネットワーク上の第三者によって、特権操作を実施される - CVE-2022-29965

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。