JVNVU#95860308
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2020-1968、CVE-2020-8172、CVE-2020-8174、CVE-2020-8201、CVE-2020-8252、CVE-2020-8265、CVE-2020-8287

• FACTS Control Platform (FCP)
  • 1.1.0から1.3.0
  • 2.1.0から2.3.0
  • 3.0.0から3.12.0
• Gateway Station (GWS)
  • 2.0.0.0およびそれ以前
  • 2.1.0.0
  • 2.2.0.0
  • 2.3.0.0
  • 2.4.0.0
  • 3.0.0.0
  • 3.1.0.0

• MSM バージョン2.2およびそれ以前

• RTU500 series CMU ファームウェアバージョン（プロジェクト設定にてHCI Modbus TCPを構成し有効化している場合）
  • 12.0系
  • 12.2系
  • 12.4系
  • 12.6系
  • 12.7系
  • 13.2系

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

• 脆弱なOSSコンポーネント（OpenSSL、Node.JS）への依存 (CWE-1357)
  • CVE-2020-1968、CVE-2020-8172、CVE-2020-8174、CVE-2020-8201、CVE-2020-8252、CVE-2020-8265、CVE-2020-8287
• 脆弱なOSSコンポーネント（JQuery、GoAhead Embedded Webserver、Curl）への依存 (CWE-1357)
  • CVE-2015-6584、CVE-2016-7103、CVE-2011-4273、CVE-2018-16842、CVE-2016-9586、VE-2016-8617、CVE-2016-8618、CVE-2016-8619、CVE-2016-8621、CVE-2016-7167、CVE-2014-3707、CVE-2013-2174、CVE-2014-0138
• 不適切な入力確認 (CWE-20)
  • CVE-2022-28613

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• FACTS Control Platform (FCP)、Gateway Station (GWS)
  • 遠隔の第三者によってネットワーク上の通信を傍受され、不正アクセスされたりサービス運用妨害（DoS）状態にされる
• MSM
  • 遠隔の第三者が不正なリンクをセッションが有効な正規ユーザに送ることで、機密情報にアクセスされたりサービス運用妨害（DoS）状態にされる
• RTU500 series CMU
  • 遠隔の第三者が当該製品に細工したModbusパケットを送ることで、再起動される

アップデートする
FACTS Control Platform (FCP)、Gateway Station (GWS)、RTU500 series CMU
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
MSM
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。