つみかさね

CVE-2026-29796

Critical(9.4)

CVE-2026-29796 — Automated Logic WebCTRL WebSocket認証欠如

公開日: 2026-03-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
WebCTRLAutomated LogicICS-CERTアドバイザリ参照
CVEAutomated Logic認証欠如ICSWebCTRL

概要

Automated Logic社のビルディングオートメーションシステム「WebCTRL」において、WebSocket通信に対する認証メカニズムが欠如しています。攻撃者は認証なしでWebSocket接続を確立し、ビル制御システムに対して不正な操作を行うことが可能です。空調・照明・セキュリティなどの建物制御に影響を及ぼす恐れがあり、CVSSスコアは9.4(Critical)です。

CVSSベクトル

項目
CVSSスコア9.4 (Critical)
CWECWE-306(認証メカニズムの欠如)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限不要
ユーザー操作不要

影響を受けるソフトウェア

  • Automated Logic WebCTRL(影響バージョンはICS-CERTアドバイザリを参照)

修正バージョンと回避策

CISA ICS-CERTが公開するアドバイザリに従い、ファームウェアおよびソフトウェアのアップデートを確認してください。ビルディングオートメーションシステムをインターネットから分離し、ファイアウォールやVPNによるアクセス制御を実施することを強く推奨します。

関連リンク

データソース: NVD (NIST)

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-25192CTEK EV充電ステーション WebSocket認証欠如CVSS 9.4CVE-2026-24060Automated Logic WebCTRL BACnet平文送信CVSS 9.1

参考リンク

CISA ICS-CERT:https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-08
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-29796
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。