JVNVU#92009092
Socomec製MOD3GP-SY-120Kにおける複数の脆弱性

Socomecが提供するMOD3GP-SY-120Kには、複数の脆弱性が存在します。

• MODULYS GP（MOD3GP-SY-120K） Webファームウェア v01.12.10

Socomecが提供するMOD3GP-SY-120Kには、次の複数の脆弱性が存在します。

• クロスサイトスクリプティング (CWE-79) - CVE-2023-38582、CVE-2023-38255
• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2023-39446
• 機微な情報に対するアクセス権設定の不備 (CWE-922) - CVE-2023-41965
• セキュリティ上重要な処理におけるCookieへの過度な依存 (CWE-565) - CVE-2023-41084
• コードインジェクション (CWE-94) - CVE-2023-40221
• 平文でパスワードを保存 (CWE-256) - CVE-2023-39452

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 正規ユーザのWebブラウザ上で、任意のJavaScriptが実行される - CVE-2023-38582
• 当該Webアプリケーションにログインしている正規ユーザが細工されたURLにアクセスすると、意図しない操作をさせられる - CVE-2023-39446
• 遠隔の第三者によって、機微な情報が窃取される - CVE-2023-41965、CVE-2023-39452
• 遠隔の第三者によって、セッションCookieを取得され、不正なアクションを実行される - CVE-2023-41084
• 遠隔の第三者によって細工されたコードを注入され、正規ユーザが特定のセクションにアクセスすると、コードが実行される - CVE-2023-40221
• 遠隔の第三者によって、細工されたコードを含むデバイス設定をアップロードされる - CVE-2023-38255

後継製品に移行する
開発者によると、MODULYS GP（MOD3GP-SY-120K）はすでにサポートを終了しており、MODULYS GP2（M4-S-XXX）への移行を推奨するとのことです。