JVNVU#94601091
Aethon製TUG Home Base Serverにおける複数の脆弱性

Aethon社が提供するTUG Home Base Serverには、複数の脆弱性が存在します。

• TUG Home Base Server Version 24より前のバージョン

Aethon社が提供するTUG Home Base Serverは、同社の自律型搬送ロボットとの通信や制御に使用されるサーバです。TUG Home Base Serverには、次の複数の脆弱性が存在します。

• 権限チェックの欠如 (CWE-862) - CVE-2022-1066、CVE-2022-26423

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N

  基本値: 8.2

• 中間者攻撃の問題 (CWE-300) - CVE-2022-1070

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 格納型クロスサイトスクリプティング (CWE-79) - CVE-2022-27494

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L

  基本値: 7.6

• 反射型クロスサイトスクリプティング (CWE-79) - CVE-2022-1059

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L

  基本値: 7.6

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、ユーザの作成、削除、更新が行われる - CVE-2022-1066
• 遠隔の第三者によって、ハッシュ化された認証情報にアクセスされる - CVE-2022-26423
• 遠隔の第三者によって、TUG Home Base Server websocketに接続され、TUG robotを制御される - CVE-2022-1070
• ユーザのウェブブラウザ上で任意のスクリプトを実行される - CVE-2022-27494、CVE-2022-1059

アップデートする
開発者によると、利用されている該当製品すべてでファイアウォールが有効であることを確認しシステムを最新（Version 24）に更新済みとのことです。

詳細については、Aethon社にお問い合わせください。