JVNDB-2020-009054
|
Moxa 製 NPort IAW5000A-I/O シリーズに複数の脆弱性
|
|
NPort IAW5000A-I/O シリーズは Moxa が提供する産業用機器です。NPort IAW5000A-I/O シリーズには、次の複数の脆弱性が存在します。
* セッションの固定化 (CWE-384) - CVE-2020-25198
* 不適切な権限管理 (CWE-269) - CVE-2020-25194
* 脆弱なパスワードの要求 (CWE-521) - CVE-2020-25153
* 重要な情報の平文での送信 (CWE-319) - CVE-2020-25190
* 認証試行回数の制限不備 (CWE-307) - CVE-2020-25196
* 情報漏えい (CWE-200) - CVE-2020-25192
|
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2020-25198の評価になります。
|
CVSS v3 による深刻度
基本値:
8.8 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-25194の評価になります。
|
CVSS v3 による深刻度
基本値:
9.8 (緊急) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-25153の評価になります。
|
CVSS v3 による深刻度
基本値:
7.5 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): なし
-
可用性への影響(A): 高
※上記は、CVE-2020-25190の評価になります。
|
CVSS v3 による深刻度
基本値:
9.8 (緊急) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-25196の評価になります。
|
CVSS v3 による深刻度
基本値:
5.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2020-25192の評価になります。
|
|
|
Moxa Inc.
- NPort IAW5000A-I/O ファームウェア Version 2.1 およびそれ以前
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 遠隔の第三者によって、ユーザの Cookie を窃取され、セッションを乗っ取られる - CVE-2020-25198
* 当該製品の Web サーバにアクセスした一般ユーザによって、管理者権限が必要な機能を実行される - CVE-2020-25194
* パスワード強度が不十分なユーザの認証情報が容易に推測される - CVE-2020-25153
* 遠隔の第三者によって、Web サーバに保存された外部サービスの認証情報を窃取される - CVE-2020-25190
* 総当たり攻撃により SSH または Telnet を介してシステムにログインされる - CVE-2020-25196
* 遠隔の第三者によって、Web サーバの機微な情報を窃取される - CVE-2020-25192
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
|
|
Moxa Inc.
|
|
- 情報漏えい(CWE-200) [IPA評価]
- 不適切な権限管理(CWE-269) [IPA評価]
- 過度な認証試行の不適切な制限(CWE-307) [IPA評価]
- 重要な情報の平文での送信(CWE-319) [IPA評価]
- セッションの固定化(CWE-384) [IPA評価]
- 脆弱なパスワードの要求(CWE-521) [IPA評価]
|
|
- CVE-2020-25153
- CVE-2020-25190
- CVE-2020-25192
- CVE-2020-25194
- CVE-2020-25196
- CVE-2020-25198
|
|
- JVN : JVNVU#92374129
- National Vulnerability Database (NVD) : CVE-2020-25153
- National Vulnerability Database (NVD) : CVE-2020-25190
- National Vulnerability Database (NVD) : CVE-2020-25192
- National Vulnerability Database (NVD) : CVE-2020-25194
- National Vulnerability Database (NVD) : CVE-2020-25196
- National Vulnerability Database (NVD) : CVE-2020-25198
- ICS-CERT ADVISORY : ICSA-20-287-01
|
|
|
