|
[English]
|
JVNDB-2022-002770
|
コンテック製 SolarView Compact におけるクロスサイトスクリプティングの脆弱性
|
|
株式会社コンテックが提供する SolarView Compact は、太陽光発電計測監視装置です。
SolarView Compact の Web サーバのネットワーク導通チェック画面には、クロスサイトスクリプティング (CWE-79、CVE-2022-44355) の脆弱性が存在します。
2022 年 12 月 5 日現在、本脆弱性の実証コードの公開を確認しています。
|
|
CVSS v3 による深刻度
基本値: 5.4 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): なし
※上記は、CVE-2022-44355 の評価になります。
|
CVSS v3 による深刻度
基本値:6.1 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): なし
※SV-CPT-MC310 および SV-CPT-MC310F の Ver.7.24 より前のバージョンにおいては、必要な特権レベル(PR)は「不要 (N)」となり、CVSSv3 は上記の評価となります。
|
|
|
株式会社コンテック
- SolarView Compact SV-CPT-MC310 Ver.8.02 より前のバージョン
- SolarView Compact SV-CPT-MC310F Ver.8.02 より前のバージョン
|
|
|
当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
なお、SV-CPT-MC310 および SV-CPT-MC310F の Ver.7.24 より前のバージョンにおいては、当該製品にログイン無しでアクセスしたユーザも本脆弱性の影響を受ける可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のファームウェアをリリースしています。
* SolarView Compact
* SV-CPT-MC310 Ver.8.02
* SV-CPT-MC310F Ver.8.02
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 本製品をスタンドアロンで運用している場合は、本製品をネットワーク接続しない
* 本製品のネットワークの上流側にファイアウォールを設置する
* 本製品のネットワークアクセスを信頼できる閉域網で構成する
* SV-CPT-MC310 および SV-CPT-MC310F の Ver.7.24 より前のバージョンを使用している場合、本製品の「ユーザー設定」にて「ユーザー認証範囲の設定」を「全画面を認証対象にする」に設定する
* 本製品に初期設定されている認証情報を変更する
|
|
株式会社コンテック
|
|
- クロスサイトスクリプティング(CWE-79) [その他]
|
|
- CVE-2022-44355
|
|
- JVN : JVNVU#93526386
|
|
|
