|
[English]
|
JVNDB-2024-000101
|
プラネックス製ネットワーク機器における複数の脆弱性
|
|
プラネックスコミュニケーションズ株式会社が提供するルーターおよびネットワークカメラには、次の複数の脆弱性が存在します。- クロスサイトリクエストフォージェリ(CWE-352)- CVE-2024-45372
- ウェブ管理画面におけるクロスサイトスクリプティング(CWE-79)- CVE-2024-45836
CVE-2024-45372
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏
CVE-2024-45836
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:横浜国立大学 本多凌大 氏、竹内謙仁 氏、上園大智 氏、櫛引淳之介 氏、九鬼琉 氏、佐々木貴之 氏、吉岡克成 氏
|
|
CVSS v3 による深刻度
基本値: 7.1 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): 低
※上記は、CVE-2024-45372の評価になります。
|
CVSS v3 による深刻度
基本値:
6.1 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): なし
※上記は、CVE-2024-45836の評価になります。
|
|
|
プラネックスコミュニケーションズ株式会社
- CS-QR10 すべてのファームウェアバージョン (CVE-2024-45836)
- CS-QR20 すべてのファームウェアバージョン (CVE-2024-45836)
- CS-QR22 すべてのファームウェアバージョン (CVE-2024-45836)
- CS-QR220 すべてのファームウェアバージョン (CVE-2024-45836)
- CS-QR300 すべてのファームウェアバージョン (CVE-2024-45836)
- MZK-DP300N ファームウェアバージョン 1.04およびそれ以前 (CVE-2024-45372)
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品のウェブ管理画面にログインした状態のユーザが、細工されたページにアクセスした場合、パスワード等の設定を変更させられる(CVE-2024-45372)
- 当該製品にログインしたユーザが特定のファイルにアクセスすると、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2024-45836)
|
|
CVE-2024-45372
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
CVE-2024-45836
[ウェブ設定画面を使用しない、もしくは製品の使用を停止し代替製品に移行する]
開発者によると、ウェブ設定画面はサポート対象外の機能であるため使用しない、もしくは当該製品のサポートは終了しているため、製品の使用を停止し代替製品への移行を推奨するとのことです。
|
|
プラネックスコミュニケーションズ株式会社
|
|
- クロスサイトスクリプティング(CWE-79) [IPA評価]
- クロスサイトリクエストフォージェリ(CWE-352) [IPA評価]
|
|
- CVE-2024-45372
- CVE-2024-45836
|
|
- JVN : JVN#81966868
|
|
|
