JVNVU#91451201
Weintek 製 cMT シリーズにおける複数の脆弱性

Weintek が提供する cMT シリーズには、複数の脆弱性が存在します。

• cMT-SVR-1xx/2xx 20210305 より前の OS バージョン
• cMT-G01/G02 20210209 より前の OS バージョン
• cMT-G03/G04 20210222 より前の OS バージョン
• cMT3071/cMT3072/cMT3090/cMT3103/cMT3151 20210218 より前の OS バージョン
• cMT-HDM 20210204 より前の OS バージョン
• cMT-FHD 20210208 より前の OS バージョン
• cMT-CTRL01 20210302 より前の OS バージョン

Weintek が提供する cMT シリーズは産業用 IoT サーバーです。
cMT シリーズには、次の複数の脆弱性が存在します。

• コードインジェクション (CWE-94) - CVE-2021-27446

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 10.0

• 不適切なアクセス制御 (CWE-284) - CVE-2021-27444

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• クロスサイトスクリプティング (CWE-79) - CVE-2021-27442

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

  基本値: 9.4

想定される影響は各脆弱性により異なりますが、認証されていない遠隔の第三者によって、次のような影響を受ける可能性があります。

• OS の root 権限で任意のコマンドを実行される - CVE-2021-27446
• 機微な情報を窃取されたり、正規の管理者になりすまして管理操作を実行されたりする - CVE-2021-27444
• 当該製品が提供する Web ページに、悪意のある JavaScript を埋め込まれる - CVE-2021-27442

アップグレードする
開発者が提供する情報をもとに、当該製品の OS を最新版にアップグレードしてください。

ワークアラウンドを実施する
開発者は OS のアップグレードに加え、次のワークアラウンドを実施することを推奨しています。

• インターネット等の外部ネットワークへ機器を接続しない