JVNVU#97136726
LS ELECTRIC製XBC-DN32Uにおける複数の脆弱性

LS ELECTRIC社が提供するXBC-DN32Uには、複数の脆弱性が存在します。

• XBC-DN32U オペレーティングシステム バージョン01.80

LS ELECTRIC社が提供するXBC-DN32Uには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-22803、CVE-2023-22804、CVE-2023-0102
• 不適切なアクセス制御 (CWE-284) - CVE-2023-22805、CVE-2023-22807
• 重要な情報の平文送信 (CWE-319) - CVE-2023-22806
• バッファの終端後のメモリ領域に対するアクセス (CWE-788) - CVE-2023-0103

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、PLCのモードを任意に変更される - CVE-2023-22803
• 遠隔の第三者によって、高権限のアカウントを作成され機器を制御される - CVE-2023-22804
• 遠隔から機器の読み取り禁止機能を設定され、データの読み取りをロックされる - CVE-2023-22805
• 遠隔の第三者によって、資格情報などの機微な情報を窃取される - CVE-2023-22806
• 遠隔の第三者によって、XGTプロトコルを介してPLCにパケットを送信され、PLCを制御および改ざんされる - CVE-2023-22807
• 遠隔の第三者によって、当該機器の任意のファイルを削除される - CVE-2023-0102
• 遠隔の第三者によって、サービス運用妨害（DoS）状態にされる - CVE-2023-0103

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

なお、LS ELECTRIC社は緩和策を検討中であり、2023年末までに暫定公開する予定とのことです。
詳細は、開発者が提供する情報をご確認ください。