JVNDB-2020-008766
|
GE Digital 製 APM Classic に複数の脆弱性
|
|
GE Digital が提供する Digital APM Classic は、設備故障のデータ分析および処理ツールです。APM Classic には次の複数の脆弱性が存在します。
*識別情報を操作することによる認可バイパス (CWE-639) - CVE-2020-16240
*ソルトを使用しない一方向性ハッシュの使用 (CWE-759) - CVE-2020-16244
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2020-16240の評価になります。
|
CVSS v3 による深刻度
基本値:
7.2 (重要) [JPCERT/CC値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-16244の評価になります。
|
|
|
General Electric Company
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
*安全でないオブジェクト直接参照 (insecure direct object reference : IDOR) の脆弱性に起因して、遠隔の第三者によって、アクセス権限のない機能を利用され、ユーザーアカウントデータを JSON フォーマットでダウンロードされる。結果として、遠隔の第三者によって、適切な権限なしにユーザーアカウントに関する機微な情報を窃取される - CVE-2020-16240
*パスワードのハッシュ計算時にソルトを使用していないため、パスワードが復号される。IDOR 脆弱性 (CVE-2020-16240) を悪用された結果、攻撃者によりすべてのユーザーアカウントデータを窃取され、その後パスワードを復元される - CVE-2020-16244
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
|
|
General Electric Company
|
|
- ユーザ制御の鍵による認証回避(CWE-639) [その他]
- Salt を使用しない一方向ハッシュの使用(CWE-759) [その他]
|
|
- CVE-2020-16240
- CVE-2020-16244
|
|
- JVN : JVNVU#90523727
- National Vulnerability Database (NVD) : CVE-2020-16240
- National Vulnerability Database (NVD) : CVE-2020-16244
- ICS-CERT ADVISORY : ICSA-20-266-01
|
|
|
