JVNDB-2026-009149
|
Automated Logic製WebCTRL Premium Serverにおける複数の脆弱性
|
|
Automated Logicが提供するWebCTRL Premium Serverには、次の複数の脆弱性が存在します。- 同一ポートに複数のソケットをバインドする問題(CWE-605) - CVE-2026-25086
- スプーフィングによる認証回避(CWE-290) - CVE-2026-32666
- 重要な情報の平文送信(CWE-319) - CVE-2026-24060
|
|
|
|
|
Automated Logic Corporation
- WebCTRL Premium Server v8.5より前のバージョン
|
|
|
脆弱性を悪用された場合、次のような影響を受ける可能性があります。- 特定の条件下において、攻撃者によりWebCTRLが使用するポートが奪取され、WebCTRLサービスになりすまされる(CVE-2026-25086)
- WebCTRLはネットワーク層認証を持たないBACnetプロトコルを使用しているため、攻撃者によりBACnetパケットが偽造され、WebCTRLサーバーまたは関連するAutomatedLogicコントローラーに対してなりすまし通信が行われる(CVE-2026-32666)
- WebCTRLのBACnet通信が暗号化されていないため、攻撃者により通信内容の盗聴および改ざんが行われる(CVE-2026-24060)
|
|
[アップデートする]
開発者は、アップデートを提供しています。
[ワークアラウンドを実施する]
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、ICS Advisoryおよび開発者が提供する情報を確認してください。
|
|
Automated Logic Corporation
|
|
- スプーフィングによる認証回避(CWE-290) [その他]
- 重要な情報の平文での送信(CWE-319) [その他]
- 同一ポートに複数のソケットをバインドする問題(CWE-605) [その他]
|
|
- CVE-2026-24060
- CVE-2026-25086
- CVE-2026-32666
|
|
- JVN : JVNVU#98985254
- ICS-CERT ADVISORY : ICSA-26-078-08
|
|
|
