JVNVU#98508542
Haas Automation製Haas Controllerにおける複数の脆弱性

Haas Automation社が提供するHaas Controllerには、複数の脆弱性が存在します。

• Haas Controller バージョン 100.20.000.1110

Haas Automation社が提供するHaas Controllerは、CNC（Computerized Numerical Control）装置です。Haas Controllerには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2022-2474
• アクセス制御の粒度が不十分 (CWE-1220) - CVE-2022-2475
• 重要な情報の平文送信 (CWE-319) - CVE-2022-41636

脆弱性を悪用された場合、遠隔の第三者によって次のような影響を受ける可能性があります。

• 不正なマクロをデバイスに書き込まれる - CVE-2022-2474
• 重要なリソースまたは権限の無いリソースにアクセスされる - CVE-2022-2475
• 機微な情報を窃取される - CVE-2022-41636

ワークアラウンドを実施する
開発者および本件の発見者は、ワークアラウンドの適用を推奨しています。
詳細は、本件に対応するICS Advisoryをご確認ください。