【活用ガイド】

JVNDB-2023-001010

複数の三洋電機製 CCTV ネットワークカメラにおけるクロスサイトリクエストフォージェリの脆弱性

概要

三洋電機株式会社(現パナソニック子会社)が提供する複数の CCTV ネットワークカメラには次の脆弱性が存在します。

 * クロスサイトリクエストフォージェリ (CWE-352) - CVE-2022-4621
なお、本件の発見者である Zero Science Lab によって本脆弱性の検証コードが公開されています。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


パナソニック コネクト
  • VCC-HD2100P ファームウェア バージョン 2.03-02
  • VCC-HD3300 ファームウェア バージョン 2.03-02
  • VCC-HD5600P ファームウェア バージョン 2.03-06
  • VDC-HD3100P ファームウェア バージョン 2.03-00
  • VDC-HD3300P ファームウェア バージョン 2.03-08 および 1.02-05

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

 * 遠隔の第三者によって、当該製品に対する HTTP リクエストを通じて、管理者権限でパスワード変更などをされる
対策

開発者によると当該製品のサポートは 2019 年で終了しているため、本脆弱性に対する修正は提供されないとのことです。
詳細は、開発者が提供する情報をご確認ください。
ベンダ情報

パナソニック コネクト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトリクエストフォージェリ(CWE-352) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2022-4621
参考情報

  1. JVN : JVNVU#96498348
  2. ICS-CERT ADVISORY : ICSA-23-012-04
  3. 関連文書 : ZSL-2021-5659 (Panasonic Sanyo CCTV Network Camera 2.03-0x CSRF Disable Authentication / Change Password)
更新履歴

  • [2023年01月19日]
      掲載

公表日2023/01/18
登録日2023/01/19
最終更新日2023/01/19