| Produkt | Hitachi Energy e-mesh EMS – wersja 4.1.6 Hitachi Energy e-mesh EMS – wersja 4.4.2 Hitachi Energy e-mesh EMS – wersja 4.7.0 |
| Numer CVE | CVE-2026-42945 |
| Krytyczność | 8.1/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | NGINX Plus i NGINX Open Source używane w e-mesh EMS mają lukę w zabezpieczeniach modułu ngx_http_rewrite_module. Luka ta występuje, gdy po dyrektywie rewrite następuje dyrektywa rewrite, if lub set oraz nienazwany przechwyt wyrażenia regularnego zgodnego z Perlem (PCRE) (na przykład $1, $2) z ciągiem zastępczym zawierającym znak zapytania (?). Nieuwierzytelniony atakujący, w połączeniu z warunkami pozostającymi poza jego kontrolą, może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP. Może to spowodować przepełnienie bufora sterty w procesie roboczym NGINX, co prowadzi do ponownego uruchomienia. Ponadto atakujący mogą wykonywać kod w systemach z wyłączoną funkcją losowego układu przestrzeni adresowej (ASLR) lub gdy atakujący może ominąć funkcję ASLR. |
| Aktualizacja | TAK |
| Link | https://publisher.hitachienergy.com/preview?DocumentID=8DBD000253&LanguageCode=en&DocumentPartId=&Action=Launch |
| Produkt | PROMOD V – wersja <= 1.0.10 |
| Numer CVE | CVE-2026-10763 |
| Krytyczność | 7.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N |
| Opis | PROMOD V korzysta z niezabezpieczonej komunikacji HTTP zamiast HTTPS. Luka wynika z braku obsługi HTTPS przez zewnętrzny serwer Digipede. |
| Aktualizacja | TAK |
| Link | https://publisher.hitachienergy.com/preview?DocumentID=8DBD000250&LanguageCode=en&DocumentPartId=&Action=Launch |