|
[English]
|
JVNDB-2021-000001
|
UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性
|
|
NECプラットフォームズ株式会社が提供する UNIVERGE SV9500 シリーズ主装置および UNIVERGE SV8500 シリーズ主装置の「保守用 Web コンソール」によるリモート保守機能には、次の複数の脆弱性が存在します。
・OS コマンドインジェクション (CWE-78) - CVE-2020-5685
・認証アルゴリズムの不適切な実装 (CWE-303) - CVE-2020-5686
この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.6 (緊急) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.8 (警告) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
※上記は、CVE-2020-5685の評価になります。
|
CVSS v3 による深刻度
基本値:
7.6 (重要) [IPA値]
-
攻撃元区分: 隣接
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 低
-
可用性への影響(A): 低
CVSS v2 による深刻度基本値:
5.8 (警告)
[IPA値]
-
攻撃元区分: 隣接
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 部分的
-
完全性への影響(I): 部分的
-
可用性への影響(A): 部分的
※上記は、CVE-2020-5686の評価になります。
|
|
|
NECプラットフォームズ株式会社
- UNIVERGE SV8500 シリーズ S6 から S8 までのバージョン
- UNIVERGE SV9500 シリーズ V1 から V7 までのバージョン
|
|
|
想定される影響は各脆弱性により異なりますが、当該製品へアクセス可能な第三者によって特定の URL に対して細工されたリクエストを送信されることで、次のような影響を受ける可能性があります。
・任意のコマンドを実行されたり、システムがサービス運用妨害(DoS)状態にされたりする - CVE-2020-5685
・保守機能へ不正にアクセスされ、情報が窃取される - CVE-2020-5686
|
|
[アップデートする]
開発者が提供する情報を元に、ソフトウェアのアップデートを行ってください。
対策の詳細は製品の販売店へご確認ください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・インターネット等の外部ネットワークへ機器を直接接続しない
・機器へのネットワーク接続に対して、送信元 IP アドレス / 宛先 IP アドレス / ポート番号に基づくアクセスルールを明示的に作成する
|
|
NECプラットフォームズ株式会社
|
|
- OSコマンドインジェクション(CWE-78) [IPA評価]
- 不適切な認証(CWE-287) [IPA評価]
|
|
- CVE-2020-5685
- CVE-2020-5686
|
|
- JVN : JVN#38784555
- National Vulnerability Database (NVD) : CVE-2020-5685
- National Vulnerability Database (NVD) : CVE-2020-5686
|
|
|
