JVNDB-2024-000106

[English]
JVNDB-2024-000106
アイホン製IPネットワーク対応インターホンIXシステム、IXGシステムおよびシステム支援ソフトにおける複数の脆弱性
概要
アイホン株式会社が提供するIPネットワーク対応インターホンIXシステム、IXGシステムおよびシステム支援ソフトには、次の複数の脆弱性が存在します。 OSコマンドインジェクション（CWE-78）- CVE-2024-31408 認証情報の不十分な保護（CWE-522）- CVE-2024-39290 ハードコードされた暗号鍵の使用（CWE-321）- CVE-2024-45837 不適切なアクセス制御（CWE-284）- CVE-2024-47142 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。報告者：Vera Mens of Claroty Research - Team82
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 8.0 (重要) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2024-31408の評価になります。
CVSS v3 による深刻度基本値: 6.5 (警告) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2024-39290の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2024-45837の評価になります。
CVSS v3 による深刻度基本値: 5.5 (警告) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): 低 ※上記は、CVE-2024-47142の評価になります。
影響を受けるシステム

アイホン株式会社 IX-SupportTool Ver.10.3.0.0およびそれ以前 (CVE-2024-45837) IXG-SupportTool Ver.5.0.2.0およびそれ以前 (CVE-2024-45837) IX-BA ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-BA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-BAU ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-BAU ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-BB ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-BB ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-BBT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-BBT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-BU ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-BU ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DA ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DAU ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DAU ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DB ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DB ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DBT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DBT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DU ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DU ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DV ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DV ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVF ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVF ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVF-2RA ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVF-2RA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVF-L ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVF-L ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVF-P ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVF-P ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVF-RA ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVF-RA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVM ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVM ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-DVT ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-DVT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-EA ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-EA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-EAT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-EAT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-EAU ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-EAU ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-FA ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-FA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-MV ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-MV7-B ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-B ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-BT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-BT ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-HB ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-HB ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-HBT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-HBT ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-HW ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-HW ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-HW-JP ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-HW-JP ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-HWT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-HWT ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-W ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-W ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-MV7-WT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-MV7-WT ファームウェア Ver.7.31およびそれ以前 (CVE-2024-45837) IX-RS-B ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-RS-B ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-RS-BT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-RS-BT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-RS-W ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-RS-W ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-RS-WT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-RS-WT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SPMIC ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SPMIC ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SS-2G ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SS-2G ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SS-2G-N ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SS-2G-N ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SS-2GT ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SS-2GT ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SSA ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SSA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SSA-2RA ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SSA-2RA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IX-SSA-RA ファームウェア Ver.7.11およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IX-SSA-RA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837) IXG-2C7 ファームウェア Ver.2.03およびそれ以前 (CVE-2024-47142) IXG-2C7 ファームウェア Ver.3.01およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXG-2C7-L ファームウェア Ver.2.03およびそれ以前 (CVE-2024-47142) IXG-2C7-L ファームウェア Ver.3.01およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXG-DM7 ファームウェア Ver.3.00およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXG-DM7-10K ファームウェア Ver.3.00およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXG-DM7-HID ファームウェア Ver.3.00およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXG-DM7-HIDA ファームウェア Ver.3.00およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXG-MK ファームウェア Ver.3.00およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXGW-GW ファームウェア Ver.3.01およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXGW-LC ファームウェア Ver.3.00およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXGW-TGW ファームウェア Ver.3.01およびそれ以前 (CVE-2024-31408、CVE-2024-39290、CVE-2024-45837) IXW-MA ファームウェア Ver.7.10およびそれ以前 (CVE-2024-31408、CVE-2024-39290) IXW-MA ファームウェア Ver.7.30およびそれ以前 (CVE-2024-45837)

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。当該製品にログイン可能な第三者によって、細工されたリクエストを送信され、root権限で任意のOSコマンドを実行される（CVE-2024-31408）当該製品にアクセス可能な第三者によって、ユーザー名やパスワードといったアドレスブック内の機微な情報を閲覧される（CVE-2024-39290）当該製品にアクセス可能な第三者によって、SFTPに接続され、権限設定のないファイルを閲覧されたり、操作される（CVE-2024-45837）当該製品にログイン可能な第三者によって、意図しない操作をされる（CVE-2024-47142）
対策
[アップデートする] 開発者が提供する情報をもとに、ファームウェアおよびソフトウェアを最新版にアップデートしてください。詳細は、開発者が提供する情報をご確認ください。
ベンダ情報
アイホン株式会社アイホン株式会社 : 商品情報ダウンロードアイホン株式会社 : IPネットワーク対応インターホン IXシステムをご利用のお客様へアイホン株式会社 : IPネットワーク対応インターホン IXGシステムをご利用のお客様へ
CWEによる脆弱性タイプ一覧 CWEとは?
OSコマンドインジェクション(CWE-78) [IPA評価] その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2024-31408 CVE-2024-39290 CVE-2024-45837 CVE-2024-47142
参考情報
JVN : JVN#41397971
更新履歴
[2024年10月18日] 掲載


公表日	2024/10/18
登録日	2024/10/18
最終更新日	2024/10/18

アイホン製IPネットワーク対応インターホンIXシステム、IXGシステムおよびシステム支援ソフトにおける複数の脆弱性