|
[English]
|
JVNDB-2024-000024
|
OET-213H-BTS1 における不適切な初期設定
|
|
Uniview 社が開発し、アツミ電氣株式会社が提供する OET-213H-BTS1 は、顔認証や温度測定の機能を提供する機器です。当該製品の初期設定では、認証なしで API を実行可能です (CWE-1188)。
|
|
|
CVSS v3 による深刻度
基本値: 8.3 (重要) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.8 (警告) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
本脆弱性は、日本国内でアツミ電氣株式会社によって提供されている以下の製品について報告されました。
|
アツミ電氣株式会社
|
|
|
当該製品を初期設定のまま使用している場合、同一サブネット内からのアクセスにより、認証なしに当該製品の設定や操作が行われる可能性があります。
|
|
[設定を更新する]
セキュリティ関連の設定で、HTTP 認証を有効にできます。(初期設定では無効になっています。)
詳細は、下記「ベンダ情報」を確認してください。
|
|
アツミ電氣株式会社
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2024-25972
|
|
- JVN : JVN#77203800
|
|
|
