【活用ガイド】

JVNDB-2026-006891

Honeywell製IQ4x BMS Controllerにおける重要な機能に対する認証の欠如の脆弱性

概要

Honeywellが提供するIQ4x BMS Controllerには、次の脆弱性が存在します。
  • 重要な機能に対する認証の欠如(CWE-306) - CVE-2026-3611
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Honeywell International Inc.
  • Honeywell IQ412 Firmware v3.30より前のバージョン
  • Honeywell IQ41x Firmware v3.30より前のバージョン
  • Honeywell IQ422 Firmware v3.30より前のバージョン
  • Honeywell IQ4E Firmware v3.30より前のバージョン
  • Honeywell IQ4NC Firmware v3.30より前のバージョン

想定される影響

遠隔の攻撃者によって管理者権限のアカウントが作成され、正規のオペレーターが設定や管理機能へアクセスできなくなる可能性があります。
対策

[バージョンおよび設定を確認する]
2015年6月にリリースされたバージョン3.30以降では、本脆弱性の影響を回避できる安全な設定を必須としています。ファームウェアバージョンと設定の確認をしてください。
詳細は、ICS Advisoryを確認するか、開発者にお問い合わせください。
ベンダ情報

Honeywell International Inc.
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 重要な機能に対する認証の欠如(CWE-306) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2026-3611
参考情報

  1. JVN : JVNVU#96698975
  2. ICS-CERT ADVISORY : ICSA-26-069-03
更新履歴

  • [2026年03月12日]
      掲載
  • [2026年03月31日]
      影響を受けるシステム:内容を更新
      対策:内容を更新