|
[English]
|
JVNDB-2022-002346
|
コンテック製 FLEXLAN FX3000 および FX2000 シリーズにおける脆弱性
|
|
株式会社コンテックが提供する FLEXLAN FX3000 および FX2000 シリーズには、次の脆弱性が存在します。
* 非公開の機能 (CWE-912) - CVE-2022-36158
* ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-36159
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Necrum Security Labs Thomas J. Knudsen 氏、Samy Younsi 氏
|
|
CVSS v3 による深刻度
基本値: 8.0 (重要) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2022-36158 の評価になります。
|
CVSS v3 による深刻度
基本値:8.8 (重要) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2022-36159 の評価になります。
|
|
|
株式会社コンテック
- FLEXLAN FX2000 ファームウェア ver.1.39.00 より前のバージョン
- FLEXLAN FX3000 ファームウェア ver.1.16.00 より前のバージョン
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 第三者によって、当該製品の管理者権限で任意のOSコマンドを実行される - CVE-2022-36158
* 第三者によって、当該製品に管理者権限でアクセスされる - CVE-2022-36159
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のファームウェアをリリースしています。
* FLEXLAN FX3000シリーズ
* ファームウェアバージョン ver.1.16.00
* FLEXLAN FX2000シリーズ
* ファームウェアバージョン ver.1.39.00
|
|
株式会社コンテック
|
|
- 非公開の機能(CWE-912) [その他]
- ハードコードされた認証情報の使用(CWE-798) [その他]
|
|
- CVE-2022-36158
- CVE-2022-36159
|
|
- JVN : JVNVU#98305100
|
|
|
