JVNDB-2015-003477
|
Grandstream GXV3611_HD カメラに SQL インジェクションの脆弱性
|
|
Grandstream GXV3611_HD は監視用のネットワークカメラです。Grandstream GXV3611_HD には、SQL インジェクションの脆弱性があります。
SQL インジェクション (CWE-89) - CVE-2015-2866
ファームウェアバージョン 1.0.3.6 およびそれ以前の Grandstream GXV3611_HD では、telnet によるログインの username フィールドを適切に検証しません。攻撃者はこの脆弱性を使用し、当該機器の設定に対して SQL インジェクション攻撃を行うことが可能です。
CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
http://cwe.mitre.org/data/definitions/89.html
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Grandstream Networks
- GXV3611_HD ファームウェア バージョン 1.0.3.6 およびそれ以前
- GXV3611_HD
|
|
|
遠隔の第三者による SQL インジェクションによって、当該機器の設定を閲覧もしくは変更される可能性があります。
|
|
[アップデートする]
この問題を修正したファームウェアバージョン 1.0.3.9 beta がリリースされています。
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
|
|
|
|
- SQLインジェクション(CWE-89) [NVD評価]
|
|
- CVE-2015-2866
|
|
- JVN : JVNVU#97426101
- National Vulnerability Database (NVD) : CVE-2015-2866
- US-CERT Vulnerability Note : VU#253708
|
|
|
