JVNVU#97351460
Ovarro製TBox RTUsにおける複数の脆弱性

Ovarroが提供するTBox RTUsには、複数の脆弱性が存在します。

CVE-2023-36607、CVE-2023-36609、CVE-2023-36610、CVE-2023-36611

• TBox MS-CPU32 1.50.598およびそれ以前のファームウェアバージョン
• ​TBox MS-CPU32-S2 1.50.598およびそれ以前のファームウェアバージョン
• ​TBox LT2 1.50.598およびそれ以前のファームウェアバージョン
• ​TBox TG2 1.50.598およびそれ以前のファームウェアバージョン
• ​TBox RM2 1.50.598およびそれ以前のファームウェアバージョン

• TBox MS-CPU32 1.46から1.50.598までのファームウェアバージョン
• ​TBox MS-CPU32-S2 1.46から1.50.598までのファームウェアバージョン
• ​TBox LT2 1.46から1.50.598までのファームウェアバージョン
• ​TBox TG2 1.46から1.50.598までのファームウェアバージョン
• ​TBox RM2 1.46から1.50.598までのファームウェアバージョン

• ​TBox MS-CPU32 すべてのファームウェアバージョン
• ​TBox MS-CPU32-S2 すべてのファームウェアバージョン
• ​TBox LT2 すべてのファームウェアバージョン
• ​TBox TG2 すべてのファームウェアバージョン
• ​TBox RM2 すべてのファームウェアバージョン

Ovarroが提供するTBox RTUsには、次の複数の脆弱性が存在します。

• 権限チェックの欠如 (CWE-862) - CVE-2023-36607
• 非推奨暗号アルゴリズムの使用 (CWE-327) - CVE-2023-36608
• 信頼できない制御領域からの機能の組み込み (CWE-829) - CVE-2023-36609
• エントロピー不足 (CWE-331) - CVE-2023-36610
• 不適切な認可 (CWE-285) - CVE-2023-36611
• パスワードの平文保存 (CWE-256) - CVE-2023-3395

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、機微な情報を窃取される - CVE-2023-36607
• ユーザによって、ハッシュからパスワードを推測される - CVE-2023-36608
• 高権限ユーザによって、root権限を取得される - CVE-2023-36609
• 遠隔の第三者によって、総当たり攻撃によりトークンを取得し不正に認証される - CVE-2023-36610
• ユーザによって、機微な情報を窃取される - CVE-2023-36611
• ユーザによって、平文保存されたパスワードを窃取される - CVE-2023-3395

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートに加えてワークアラウンドを提供しています。

詳細は、開発者およびCISAが提供する情報をご確認ください。