【活用ガイド】

[English]

JVNDB-2026-012056

サイレックス・テクノロジー製SD-330ACおよびAMC Managerにおける複数の脆弱性

概要

サイレックス・テクノロジー株式会社が提供するSD-330ACおよびAMC Managerには、次の複数の脆弱性が存在します。
  • リダイレクトURLの処理におけるスタックベースのバッファオーバーフロー(CWE-121) - CVE-2026-32955
  • リダイレクトURLの処理におけるヒープベースのバッファオーバーフロー(CWE-122) - CVE-2026-32956
  • ファームウェアに関する重要な機能に対する認証の欠如(CWE-306) - CVE-2026-32957
  • ハードコードされた暗号鍵の使用(CWE-321) - CVE-2026-32958
  • 解読される恐れの高い暗号アルゴリズムの使用(CWE-327) - CVE-2026-32959
  • リソース内の機微な情報がリソースの再利用前に削除されない(CWE-226) - CVE-2026-32960
  • sx_smpdのパケットデータ処理におけるヒープベースのバッファオーバーフロー(CWE-122) - CVE-2026-32961
  • デバイス設定に関する重要な機能に対する認証の欠如(CWE-306) - CVE-2026-32962
  • 反射型クロスサイトスクリプティング(CWE-79) - CVE-2026-32963
  • CRLFインジェクション(CWE-93) - CVE-2026-32964
  • 安全ではない値を用いたリソースの初期化(CWE-1188) - CVE-2026-32965
  • 脆弱なサードパーティ製コンポーネントの使用(CWE-1395) - CVE-2015-5621
  • 不適切な権限の割り当て(CWE-266) - CVE-2024-24487
この脆弱性情報は、下記の方がCISA ICSに報告し、CISA ICSから依頼を受けたJPCERT/CCが開発者との調整を行いました。
報告者:Forescout Technologies Francesco La Spina 氏
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.8 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2026-32955 の評価になります。

CVSS v3 による深刻度
基本値:9.8 (緊急) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2026-32956 の評価になります。

CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
※上記は、CVE-2026-32957 の評価になります。

CVSS v3 による深刻度
基本値:6.5 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 必要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
※上記は、CVE-2026-32958 の評価になります。

CVSS v3 による深刻度
基本値:5.9 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2026-32959 の評価になります。

CVSS v3 による深刻度
基本値:6.5 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 必要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
※上記は、CVE-2026-32960 の評価になります。

CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 低
※上記は、CVE-2026-32961 の評価になります。

CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
※上記は、CVE-2026-32962 の評価になります。

CVSS v3 による深刻度
基本値:6.1 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 必要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
※上記は、CVE-2026-32963 の評価になります。

CVSS v3 による深刻度
基本値:6.5 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
※上記は、CVE-2026-32964 の評価になります。

CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
※上記は、CVE-2026-32965 の評価になります。

CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
※上記は、CVE-2015-5621 の評価になります。

CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: なし
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 低
※上記は、CVE-2024-24487 の評価になります。
影響を受けるシステム


サイレックス・テクノロジー株式会社
  • AMC Manager Ver.5.0.2およびそれ以前のバージョン
  • SD-330AC Ver.1.42およびそれ以前のバージョン

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  • 当該機器上で任意のコードが実行される(CVE-2026-32955、CVE-2026-32956)
  • 認証なしに当該機器上に任意のファイルがアップロードされる(CVE-2026-32957)
  • 偽のファームウェアアップデートを適用させられる(CVE-2026-32958)
  • AMC Managerとデバイスとの間の通信に対して中間者攻撃が行われた場合、設定データなどを取得される(CVE-2026-32959)
  • 細工されたパケットにより、パスワードなしでログインされる(CVE-2026-32960)
  • 細工されたパケットを処理することで、一時的にサービス運用妨害(DoS)状態にされる(CVE-2026-32961)
  • 認証なしに設定を改ざんされる(CVE-2026-32962)
  • 当該機器にログインしているユーザが細工されたページにアクセスすると、ユーザのブラウザ上で意図しない処理が実行される(CVE-2026-32963)
  • 細工された設定データを処理すると、システム設定に任意のエントリを追加される(CVE-2026-32964)
  • パスワードを設定しないままネットワークに接続している場合、長さ0の文字列をパスワードとして当該機器の設定を変更される(CVE-2026-32965)
  • 当該機器に組み込まれているnet-snmpの古い脆弱なバージョンのプログラムに対する攻撃を意図したパケットを処理することにより、サービス運用妨害(DoS)状態にされる(CVE-2015-5621)
  • 認証なしに当該機器を再起動される(CVE-2024-24487)
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は、次のバージョンで修正されています。
  • SD-330AC ファームウェア Ver.1.50以降
  • AMC Manager Ver.5.1.0以降
[ワークアラウンドを実施する]
CVE-2026-32955、CVE-2026-32956、CVE-2026-32957、CVE-2026-32963
HTTP/HTTPSサービスを無効化してください。
CVE-2026-32958、CVE-2026-32965
設定WEBにパスワードを設定する。
CVE-2015-5621
SNMPサービスを無効化してください。
ベンダ情報

サイレックス・テクノロジー株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. リソースの安全ではないデフォルト値への初期化(CWE-1188) [その他]
  2. スタックベースのバッファオーバーフロー(CWE-121) [その他]
  3. ヒープベースのバッファオーバーフロー(CWE-122) [その他]
  4. 脆弱なサードパーティ製コンポーネントへの依存(CWE-1395) [その他]
  5. 再利用前に削除されていないリソース内重要情報(CWE-226) [その他]
  6. 不適切な権限設定(CWE-266) [その他]
  7. 重要な機能に対する認証の欠如(CWE-306) [その他]
  8. ハードコードされた暗号鍵の使用(CWE-321) [その他]
  9. 不完全、または危険な暗号アルゴリズムの使用(CWE-327) [その他]
  10. クロスサイトスクリプティング(CWE-79) [その他]
  11. CRLF インジェクション(CWE-93) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-5621
  2. CVE-2024-24487
  3. CVE-2026-32955
  4. CVE-2026-32956
  5. CVE-2026-32957
  6. CVE-2026-32958
  7. CVE-2026-32959
  8. CVE-2026-32960
  9. CVE-2026-32961
  10. CVE-2026-32962
  11. CVE-2026-32963
  12. CVE-2026-32964
  13. CVE-2026-32965
参考情報

  1. JVN : JVNVU#94271449
更新履歴

  • [2026年04月21日]
      掲載

公表日2026/04/20
登録日2026/04/21
最終更新日2026/04/21