ProduktHitachi Energy e-mesh EMS – wersja 4.1.6
Hitachi Energy e-mesh EMS – wersja 4.4.2
Hitachi Energy e-mesh EMS – wersja 4.7.0
Numer CVECVE-2026-42945
Krytyczność8.1/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisNGINX Plus i NGINX Open Source używane w e-mesh EMS mają lukę w zabezpieczeniach modułu ngx_http_rewrite_module. Luka ta występuje, gdy po dyrektywie rewrite następuje dyrektywa rewrite, if lub set oraz nienazwany przechwyt wyrażenia regularnego zgodnego z Perlem (PCRE) (na przykład $1, $2) z ciągiem zastępczym zawierającym znak zapytania (?). Nieuwierzytelniony atakujący, w połączeniu z warunkami pozostającymi poza jego kontrolą, może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP. Może to spowodować przepełnienie bufora sterty w procesie roboczym NGINX, co prowadzi do ponownego uruchomienia. Ponadto atakujący mogą wykonywać kod w systemach z wyłączoną funkcją losowego układu przestrzeni adresowej (ASLR) lub gdy atakujący może ominąć funkcję ASLR.
  
AktualizacjaTAK
Linkhttps://publisher.hitachienergy.com/preview?DocumentID=8DBD000253&LanguageCode=en&DocumentPartId=&Action=Launch
ProduktPROMOD V – wersja <= 1.0.10
Numer CVECVE-2026-10763
Krytyczność7.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
OpisPROMOD V korzysta z niezabezpieczonej komunikacji HTTP zamiast HTTPS. Luka wynika z braku obsługi HTTPS przez zewnętrzny serwer Digipede.
  
AktualizacjaTAK
Linkhttps://publisher.hitachienergy.com/preview?DocumentID=8DBD000250&LanguageCode=en&DocumentPartId=&Action=Launch