CVE-2023-43776 [中] | Security Vulnerability（Easy-Box-E4-Ac1 Firmware）

Eaton easyE4 PLC offers a device password protection functionality to facilitate a secure connection and prevent unauthorized access. It was observed that the device password was stored with a weak encoding algorithm in the easyE4 program file when exported to SD card (*.PRG file ending).

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	0.03%	0.12%	+0.09%
2	2025-11-21	0.06%	0.03%	-0.03%
3	2025-11-18	—	0.06%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

0.03%

0.12%

+0.09%

2025-11-21

0.06%

0.03%

-0.03%

2025-11-18

—

0.06%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
6.8	3.1	MEDIUM	`CVSS:3.1/AV:P/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H` クリックして展開攻撃ベクター (AV:P) 端末への物理接触（USB 挿入やコンソール操作など）が前提。攻撃の複雑さ (AC:H) 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。必要な権限 (PR:H) 管理者・SYSTEM など、強い権限を握った状態からでないと実害に結びつきにくい。ユーザーの関与 (UI:R) インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。スコープ (S:C) 脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。	0.2	6.0	[email protected]
6.6	3.1	MEDIUM	`CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H` クリックして展開攻撃ベクター (AV:P) 端末への物理接触（USB 挿入やコンソール操作など）が前提。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:R) インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。	0.7	5.9	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

6.8

3.1

MEDIUM

CVSS:3.1/AV:P/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H クリックして展開

攻撃ベクター (AV:P): 端末への物理接触（USB 挿入やコンソール操作など）が前提。
攻撃の複雑さ (AC:H): 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:H): 管理者・SYSTEM など、強い権限を握った状態からでないと実害に結びつきにくい。
ユーザーの関与 (UI:R): インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:C): 脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H): 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H): 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

0.2

6.0

[email protected]

6.6

3.1

MEDIUM

CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H クリックして展開

攻撃ベクター (AV:P): 端末への物理接触（USB 挿入やコンソール操作など）が前提。
攻撃の複雑さ (AC:L): 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N): 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:R): インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H): 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H): 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

0.7

5.9

[email protected]

CVE-2023-43776 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
eaton	easy-box-e4-ac1_firmware	< 2.02	cpe:2.3:o:eaton:easy-box-e4-ac1_firmware::::::::
eaton	easy-box-e4-dc1_firmware	< 2.02	cpe:2.3:o:eaton:easy-box-e4-dc1_firmware::::::::
eaton	easy-box-e4-uc1_firmware	< 2.02	cpe:2.3:o:eaton:easy-box-e4-uc1_firmware::::::::
eaton	easy-e4-ac-12rc1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-ac-12rc1p_firmware::::::::
eaton	easy-e4-ac-12rcx1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-ac-12rcx1p_firmware::::::::
eaton	easy-e4-ac-16re1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-ac-16re1p_firmware::::::::
eaton	easy_e4-ac-8re1p_firmware	< 2.02	cpe:2.3:o:eaton:easy_e4-ac-8re1p_firmware::::::::
eaton	easy-e4-dc-12tc1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-dc-12tc1p_firmware::::::::
eaton	easy-e4-dc-12tcx1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-dc-12tcx1p_firmware::::::::
eaton	easy-e4-dc-16te1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-dc-16te1p_firmware::::::::
eaton	easy-e4-dc-4pe1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-dc-4pe1p_firmware::::::::
eaton	easy-e4-dc-6ae1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-dc-6ae1p_firmware::::::::
eaton	easy-e4-dc-8te1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-dc-8te1p_firmware::::::::
eaton	easy-e4-uc-12rc1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-uc-12rc1p_firmware::::::::
eaton	easy-e4-uc-12rcx1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-uc-12rcx1p_firmware::::::::
eaton	easy-e4-uc-16re1_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-uc-16re1_firmware::::::::
eaton	easy-e4-uc-16re1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-uc-16re1p_firmware::::::::
eaton	easy-e4-uc-8re1p_firmware	< 2.02	cpe:2.3:o:eaton:easy-e4-uc-8re1p_firmware::::::::
eaton	xv-102-a035tqrb-1e4_firmware	< 2.02	cpe:2.3:o:eaton:xv-102-a035tqrb-1e4_firmware::::::::
eaton	xv-102-a3-57tvrb-1e4_firmware	< 2.02	cpe:2.3:o:eaton:xv-102-a3-57tvrb-1e4_firmware::::::::
eaton	xv100-box-e4-dc1_firmware	< 2.02	cpe:2.3:o:eaton:xv100-box-e4-dc1_firmware::::::::
eaton	xv100-box-e4-uc1_firmware	< 2.02	cpe:2.3:o:eaton:xv100-box-e4-uc1_firmware::::::::

CVE-2023-43776 の参考情報

URL	タグ
https://www.eaton.com/content/dam/eaton/company/news-insights/cybersecurity/security-bulletins/etn-va-2023-1010.pdf	Mitigation Vendor Advisory

URL

タグ

https://www.eaton.com/content/dam/eaton/company/news-insights/cybersecurity/security-bulletins/etn-va-2023-1010.pdf

Mitigation Vendor Advisory

CVE-2023-43776 | Weak encoding vulnerability in easyE4

CVE-2023-43776 の EPSS（Exploit Prediction Scoring System）スコア

CVE-2023-43776 の CVSS（Common Vulnerability Scoring System）指標

CVE-2023-43776 の弱点分類（列挙）

CVE-2023-43776 の影響を受けるソフトウェア／構成

CVE-2023-43776 の参考情報