|
[English]
|
JVNDB-2024-001161
|
シャープ製クラウド連携エネルギーコントローラ (機器連携コントローラ) における複数の脆弱性
|
|
シャープ株式会社が提供するクラウド連携エネルギーコントローラ (機器連携コントローラ) には、次の複数の脆弱性が存在します。
* 認証不備の脆弱性 (CWE-287)- CVE-2024-23783
* アクセス制御の不備 (CWE-284)- CVE-2024-23784
* クロスサイトリクエストフォージェリ (CWE-352)- CVE-2024-23785
* 格納型クロスサイトスクリプティング (CWE-79)- CVE-2024-23786
* パストラバーサル (CWE-22)- CVE-2024-23787
* サーバーサイドリクエストフォージェリ (CWE-918)- CVE-2024-23788
* OSコマンドインジェクション (CWE-78)- CVE-2024-23789
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: GMO サイバーセキュリティ by イエラエ株式会社 馬場 将次 氏
|
|
CVSS v3 による深刻度
基本値: 9.6 (緊急) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2024-23789 の評価になります。
|
CVSS v3 による深刻度
基本値:7.4 (重要) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2024-23787 の評価になります。
|
CVSS v3 による深刻度
基本値:7.1 (重要) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
※上記は、CVE-2024-23783 の評価になります。
|
CVSS v3 による深刻度
基本値:6.1 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): 低
※上記は、CVE-2024-23785 の評価になります。
|
CVSS v3 による深刻度
基本値:5.2 (警告) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): 低
※上記は、CVE-2024-23786 の評価になります。
|
CVSS v3 による深刻度
基本値:4.7 (警告) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2024-23784 の評価になります。
|
CVSS v3 による深刻度
基本値:4.7 (警告) [その他]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 低
※上記は、CVE-2024-23788 の評価になります。
|
|
クラウド連携エネルギーコントローラ (機器連携コントローラ)
|
シャープ株式会社
- JH-RV11 Ver. B0.1.9.1 およびそれ以前
- JH-RVB1 Ver. B0.1.9.1 およびそれ以前
|
|
|
CVE-2024-23783
当該製品にアクセス可能な第三者によって、ベーシック認証を必要とせずアクセスされる
CVE-2024-23784
当該製品にアクセス可能な第三者によって、管理画面に表示されるユーザー名およびハッシュ化されたパスワードを取得される
CVE-2024-23785
当該製品にアクセス可能な第三者によって、当該製品の設定が変更される
CVE-2024-23786
当該製品の管理画面にアクセスしているユーザーのウェブブラウザ上で任意のスクリプトが実行される
CVE-2024-23787
当該製品にアクセス可能な第三者によって、当該製品上の任意のファイルを取得される
CVE-2024-23788
当該製品にアクセス可能な第三者によって、当該製品から任意のHTTPリクエスト(GET)を送信される
CVE-2024-23789
当該製品にアクセス可能な第三者によって、当該製品上で任意のコマンドを実行される
|
|
[アップデートする]
クラウド連携エネルギーコントローラ (機器連携コントローラ) を Ver. B0.2.0.0 にアップデートしてください。
クラウド連携エネルギーコントローラ (機器連携コントローラ) がインターネットに接続されている環境において、自動アップデートが適用されます。
[ワークアラウンドを実施する]
次の回避策もしくは軽減策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品を直接インターネットに接続せず、ルーター等で保護されたネットワーク内で使用する
* 無線LANルーターを使用している場合は、強固な暗号化方式の設定をする
* 管理用パスワードを初期状態から変更する
* ファームウェアを常に最新の状態に保つ
詳しくは、開発者が提供する情報を確認してください。
|
|
シャープ株式会社
|
|
- パス・トラバーサル(CWE-22) [その他]
- 不適切なアクセス制御(CWE-284) [その他]
- 不適切な認証(CWE-287) [その他]
- クロスサイトリクエストフォージェリ(CWE-352) [その他]
- OSコマンドインジェクション(CWE-78) [その他]
- クロスサイトスクリプティング(CWE-79) [その他]
- サーバサイドのリクエストフォージェリ(CWE-918) [その他]
|
|
- CVE-2024-23783
- CVE-2024-23784
- CVE-2024-23785
- CVE-2024-23786
- CVE-2024-23787
- CVE-2024-23788
- CVE-2024-23789
|
|
- JVN : JVNVU#94591337
|
|
|
