公開日:2022/12/05 最終更新日:2022/12/05
JVNVU#93526386
コンテック製SolarView Compactにおけるクロスサイトスクリプティングの脆弱性
株式会社コンテックが提供するSolarView Compactには、クロスサイトスクリプティングの脆弱性が存在します。
- SolarView Compact
- SV-CPT-MC310 Ver.8.02より前のバージョン
- SV-CPT-MC310F Ver.8.02より前のバージョン
株式会社コンテックが提供するSolarView Compactは、太陽光発電計測監視装置です。
SolarView CompactのWebサーバのネットワーク導通チェック画面には、クロスサイトスクリプティング(CWE-79、CVE-2022-44355)の脆弱性が存在します。
2022年12月5日現在、本脆弱性の実証コードの公開を確認しています。
当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
なお、SV-CPT-MC310およびSV-CPT-MC310FのVer.7.24より前のバージョンにおいては、当該製品にログイン無しでアクセスしたユーザも本脆弱性の影響を受ける可能性があります。
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のファームウェアをリリースしています。
- SolarView Compact
- SV-CPT-MC310 Ver.8.02
- SV-CPT-MC310F Ver.8.02
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- 本製品をスタンドアロンで運用している場合は、本製品をネットワーク接続しない
- 本製品のネットワークの上流側にファイアウォールを設置する
- 本製品のネットワークアクセスを信頼できる閉域網で構成する
- SV-CPT-MC310およびSV-CPT-MC310FのVer.7.24より前のバージョンを使用している場合、本製品の「ユーザー設定」にて「ユーザー認証範囲の設定」を「全画面を認証対象にする」に設定する
- 本製品に初期設定されている認証情報を変更する
| ベンダ | リンク |
| 株式会社コンテック | SolarView Compact(SV-CPT-MC310)の脆弱性について(PDF) |
| SV-CPT-MC310 | ファームウェア |
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
基本値:
5.4
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
分析結果のコメント
SV-CPT-MC310およびSV-CPT-MC310FのVer.7.24より前のバージョンにおいては、必要な特権レベル(PR)は「不要 (N)」となり、CVSSv3は次の評価となります。
| CVSS v3 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | 基本値: 6.1 |
