|
[English]
|
JVNDB-2022-002768
|
ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性
|
|
ユニモテクノロジー株式会社が提供する複数のデジタルビデオレコーダ製品には、次の複数の脆弱性が存在します。
* 不適切な認証(推測可能な認証情報)(CWE-287) - CVE-2022-44620
* OSコマンドインジェクション (CWE-78) - CVE-2022-44606
* ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912) - CVE-2022-43464
なお本件の報告者によると、本脆弱性を悪用した攻撃が確認されているとのことです。
この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
報告者: 情報通信研究機構 サイバーセキュリティ研究所 森好樹 氏、丑丸逸人 氏、首浦大夢 氏、久保正樹 氏
|
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
ユニモテクノロジー株式会社
- UDR-JA1604 ファームウェア バージョン 71x10.1.107112.43A およびそれ以前
- UDR-JA1608 ファームウェア バージョン 71x10.1.107112.43A およびそれ以前
- UDR-JA1616 ファームウェア バージョン 71x10.1.107112.43A およびそれ以前
|
|
|
遠隔の第三者によって、当該製品上で任意の OS コマンドを実行されたり、機器の設定を変更されたりする可能性があります。
CVE-2022-44620 により入手した認証情報を用いて、当該機器上で OS コマンドが実行されることを想定しています。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
本脆弱性はファームウェアバージョン 71x10.1.107114.43A で修正されています。
|
|
ユニモテクノロジー株式会社
|
|
- 不適切な認証(CWE-287) [その他]
- OSコマンドインジェクション(CWE-78) [その他]
- 非公開の機能(CWE-912) [その他]
|
|
- CVE-2022-44620
- CVE-2022-44606
- CVE-2022-43464
|
|
- JVN : JVNVU#94514762
|
|
|
