JVNDB-2026-007514
|
複数のTrane製品における複数の脆弱性
|
|
Traneが提供する複数の製品には、次の複数の脆弱性が存在します。- 解読される恐れの高い暗号アルゴリズムの使用(CWE-327) - CVE-2026-28252
- 過剰なサイズのメモリ割り当て(CWE-789) - CVE-2026-28253
- 権限チェックの欠如(CWE-862) - CVE-2026-28254
- ハードコードされた認証情報の使用(CWE-798) - CVE-2026-28255
- ハードコードされたセキュリティ関連の定数の使用(CWE-547) - CVE-2026-28256
|
|
|
|
|
Trane
- Tracer Concierge v6.3.2310より前のバージョン
- Tracer SC v4.4_SP7より前のバージョン
- Tracer SC + v6.3.2310より前のバージョン
|
|
|
脆弱性を悪用された場合、次のような影響を受ける可能性があります。- 認証を回避され、当該製品のrootレベルのアクセス権を取得される(CVE-2026-28252)
- サービス運用妨害(DoS)状態を引き起こされる(CVE-2026-28253)
- 保護されていないAPIを介して機微な情報にアクセスされる(CVE-2026-28254)
- 機微な情報を漏えいされたり、アカウントを乗っ取られたりする(CVE-2026-28255、CVE-2026-28256)
|
|
CVE-2026-28252、CVE-2026-28253、CVE-2026-28254
[アップデートする]
開発者はこれらの脆弱性に対応したTracer SC+の次のバージョンを提供しています。 - Tracer SC+ バージョン v6.30.2313
CVE-2026-28255
開発者は本脆弱性を軽減するため、強化されたクラウドセキュリティ制御を導入済みです。
CVE-2026-28256
開発者は強化されたセキュリティ対策を実施し、お客様に通知済みです。
詳細は、ICS Advisoryの情報を確認するか、開発者にお問い合わせください。
|
|
|
|
- 不完全、または危険な暗号アルゴリズムの使用(CWE-327) [その他]
- ハードコードされたセキュリティ関連の定数の使用(CWE-547) [その他]
- 過剰なサイズ値のメモリ割り当て(CWE-789) [その他]
- ハードコードされた認証情報の使用(CWE-798) [その他]
- 認証の欠如(CWE-862) [その他]
|
|
- CVE-2026-28252
- CVE-2026-28253
- CVE-2026-28254
- CVE-2026-28255
- CVE-2026-28256
|
|
- JVN : JVNVU#91514047
- ICS-CERT ADVISORY : ICSA-26-071-01
|
|
|
