JVNDB-2023-007152

[English]
JVNDB-2023-007152
CLUSTERPRO X における複数の脆弱性
概要
日本電気株式会社が提供する CLUSTERPRO X の WebManager/Cluster WebUI には、次の複数の脆弱性が存在します。　* 権限チェックの欠如 (CWE-862) - CVE-2023-39544 　* 外部からアクセス可能なファイルに関する脆弱性 (CWE-552) - CVE-2023-39545 　* パスワードの代わりにパスワードハッシュを使用する認証 (CWE-836) - CVE-2023-39546 　* Capture-replay による認証回避 (CWE-294) - CVE-2023-39547 　* アップロードファイルの検証不備 (CWE-434) - CVE-2023-39548 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。発見者: Videotron David Levard 氏
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 8.8 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2023-39544 の評価になります。
CVSS v3 による深刻度基本値:8.1 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2023-39548 の評価になります。
CVSS v3 による深刻度基本値:7.8 (重要) [その他] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): なし ※上記は、CVE-2023-39545 の評価になります。
CVSS v3 による深刻度基本値:7.5 (重要) [その他] 攻撃元区分: 隣接攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2023-39547 の評価になります。
CVSS v3 による深刻度基本値:7.4 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): なし ※上記は、CVE-2023-39546 の評価になります。
影響を受けるシステム

日本電気 CLUSTERPRO X 1.0 CLUSTERPRO X 2.0 CLUSTERPRO X 2.1 CLUSTERPRO X 3.0 CLUSTERPRO X 3.1 CLUSTERPRO X 3.2 CLUSTERPRO X 3.3 CLUSTERPRO X 4.0 CLUSTERPRO X 4.1 CLUSTERPRO X 4.2 CLUSTERPRO X 4.3 CLUSTERPRO X 5.0 CLUSTERPRO X 5.1 CLUSTERPRO X SingleServerSafe 1.0 CLUSTERPRO X SingleServerSafe 2.0 CLUSTERPRO X SingleServerSafe 2.1 CLUSTERPRO X SingleServerSafe 3.0 CLUSTERPRO X SingleServerSafe 3.1 CLUSTERPRO X SingleServerSafe 3.2 CLUSTERPRO X SingleServerSafe 3.3 CLUSTERPRO X SingleServerSafe 4.0 CLUSTERPRO X SingleServerSafe 4.1 CLUSTERPRO X SingleServerSafe 4.2 CLUSTERPRO X SingleServerSafe 4.3 CLUSTERPRO X SingleServerSafe 5.0 CLUSTERPRO X SingleServerSafe 5.1
開発者によると、Windows 版および Linux 版のいずれも本脆弱性の影響を受けるとのことです。
想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。　* 当該製品にログイン可能な攻撃者によって、任意のコマンドを実行される - CVE-2023-39544 　* 当該製品にログイン可能な攻撃者によって、認証情報を含むファイルをHTTP API経由で取得される - CVE-2023-39545 　* 遠隔の第三者によって Pass The Hash 攻撃を実行され、WebUI に管理者としてログイン試行される - CVE-2023-39546 　* 遠隔の第三者によって、構成ファイルなどを取得される - CVE-2023-39547 　* 遠隔の第三者によって、管理者権限で任意のスクリプトを実行される - CVE-2023-39548
対策
[アップデートする] CLUSTERPRO X 5.x については、開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。　* CLUSTERPRO X 5.1.2 　* CLUSTERPRO X SingleServerSafe 5.1.2 [パッチを適用する] CLUSTERPRO X 3.x および CLUSTERPRO X 4.x については、開発者はユーザに向け、修正パッチを提供しています。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。　* WebManager/Cluster WebUIの「WebManager サービスを有効にする」の設定を無効にする WebManager サービスを無効化することができない場合は、次のいずれかの回避策を適用することで、本脆弱性の影響を軽減することができます。　* ファイアウォールにより不要な通信を遮断する　* WebManager の HTTP ポート (既定値: 29003) について、信頼できる管理クライアントのみに接続要求の受付を許可する　* WebManager/Cluster WebUI の通信方式を HTTPS に設定する (CLUSTERPRO X 4.0 およびそれ以降) 詳細は、開発者が提供する情報を確認してください。
ベンダ情報
日本電気 NEC製品セキュリティ情報 : NV23-009
CWEによる脆弱性タイプ一覧 CWEとは?
Capture-replay による認証回避(CWE-294) [その他] 危険なタイプのファイルの無制限アップロード(CWE-434) [その他] 外部からアクセス可能なファイルまたはディレクトリ(CWE-552) [その他] パスワードの代わりにパスワードハッシュを使用する認証(CWE-836) [その他] 認証の欠如(CWE-862) [その他]
共通脆弱性識別子(CVE) CVEとは?
CVE-2023-39544 CVE-2023-39545 CVE-2023-39546 CVE-2023-39547 CVE-2023-39548
参考情報
JVN : JVNVU#98954968 National Vulnerability Database (NVD) : CVE-2023-39544 National Vulnerability Database (NVD) : CVE-2023-39545 National Vulnerability Database (NVD) : CVE-2023-39546 National Vulnerability Database (NVD) : CVE-2023-39547 National Vulnerability Database (NVD) : CVE-2023-39548
更新履歴
[2023年11月20日] 掲載 [2024年05月01日] 参考情報：National Vulnerability Database (NVD) (CVE-2023-39544) を追加参考情報：National Vulnerability Database (NVD) (CVE-2023-39545) を追加参考情報：National Vulnerability Database (NVD) (CVE-2023-39546) を追加参考情報：National Vulnerability Database (NVD) (CVE-2023-39547) を追加参考情報：National Vulnerability Database (NVD) (CVE-2023-39548) を追加


公表日	2023/11/17
登録日	2023/11/20
最終更新日	2024/05/01

CLUSTERPRO X における複数の脆弱性