公開日:2020/10/23 最終更新日:2022/10/21
JVNVU#94780329
複数の B. Braun Melsungen 製品に複数の脆弱性
B.Braun Melsungen 株式会社が提供する複数の製品には、複数の脆弱性があります。
- SpaceCom バージョン U61 およびそれ以前
- SpaceCom バージョン L81 およびそれ以前
- Battery Pack with Wi-Fi バージョン U61 およびそれ以前
- Battery Pack with Wi-Fi バージョン L81 およびそれ以前
- Data module compactplus バージョン A10 および A11
B.Braun Melsungen 株式会社が提供する複数の製品には、次の複数の脆弱性が存在します。
- 反射型クロスサイトスクリプティング (CWE-79) - CVE-2020-25158
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L 基本値: 7.6 - オープンリダイレクト (CWE-601) - CVE-2020-25154
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 5.4 - XPATH インジェクション (CWE-643) - CVE-2020-25162
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 - セッションの固定化 (CWE-384) - CVE-2020-25152
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 7.6 - Salt を使用しないハッシュ関数の使用 (CWE-759) - CVE-2020-25164
CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - 相対的パストラバーサル (CWE-23) - CVE-2020-25150
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L 基本値: 7.6 - デジタル署名の不適切な検証 (CWE-347) - CVE-2020-25166
CVSS v3 CVSS:3.0/AV:P/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:H 基本値: 6.8 - 不適切な権限管理 (CWE-269) - CVE-2020-16238
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 6.7 - ハードコードされた認証情報の使用 (CWE-798) - CVE-2020-25168
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 3.3 - デバッグコードの残存 (CWE-489) - CVE-2020-25156
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 7.2 - 不適切なアクセス制御 (CWE-284) - CVE-2020-25160
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L 基本値: 6.8
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、管理用 Web インターフェースに任意のスクリプトや HTML が挿入される - CVE-2020-25158
- 遠隔の第三者によって、ユーザが悪意のあるウェブサイトにリダイレクトされる - CVE-2020-25154
- 認証されていない遠隔の第三者によって、機微な情報を窃取されたり、権限昇格されたりする - CVE-2020-25162
- 遠隔の第三者によって、Web セッションを窃取されたり、権限昇格されたりする - CVE-2020-25152
- ローカルの第三者によって、管理者インターフェースのユーザ認証情報を窃取される - CVE-2020-25164
- 遠隔のユーザによって、特別に細工されたファイルをアップロードされることで、任意のコマンドを実行される - CVE-2020-25150
- 当該製品にアクセス可能な第三者によって、機器の改ざんなど可能な悪意のあるファームウェアを生成される - CVE-2020-25166
- 第三者によって、コマンドラインから基盤の Linux システムに接続後、root 権限に昇格される - CVE-2020-16238
- 第三者によって、ハードコートされた認証情報をもとに、コマンドラインから機器の Wi-Fi モジュールに接続される - CVE-2020-25168
- 遠隔の第三者によって、root 権限で機器に接続される - CVE-2020-25156
- 第三者によって、機器のネットワーク構成情報を窃取されたり、改ざんされたりする - CVE-2020-25160
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2020/10/27 |
| ベンダ | リンク |
| B. Braun Melsungen AG | 10/2020 SpaceCom, Battery Pack SP with WiFi, Data module compactplus - multiple vulnerabilities |
-
ICS Medical Advisory (ICSMA-20-296-02)
B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-16238 |
|
CVE-2020-25150 |
|
|
CVE-2020-25152 |
|
|
CVE-2020-25154 |
|
|
CVE-2020-25156 |
|
|
CVE-2020-25158 |
|
|
CVE-2020-25160 |
|
|
CVE-2020-25162 |
|
|
CVE-2020-25164 |
|
|
CVE-2020-25166 |
|
|
CVE-2020-25168 |
|
| JVN iPedia |
|
- 2020/10/27
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2022/10/21
- [ベンダ情報] を更新しました
- 2022/10/21
- [詳細情報] の誤記を修正しました
