公開日:2023/01/18 最終更新日:2023/01/18

JVNVU#96498348
複数の三洋電機製CCTVネットワークカメラにおけるクロスサイトリクエストフォージェリの脆弱性

概要

三洋電機株式会社(現パナソニック子会社)が提供する複数のCCTVネットワークカメラには、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

CCTVネットワークカメラの以下のモデルが本脆弱性の影響を受けます。

  • VCC-HD5600P ファームウェアバージョン 2.03-06
  • VDC-HD3300P ファームウェアバージョン 2.03-08および1.02-05
  • VCC-HD3300 ファームウェアバージョン 2.03-02
  • VDC-HD3100P ファームウェアバージョン 2.03-00
  • VCC-HD2100P ファームウェアバージョン 2.03-02

詳細情報

三洋電機株式会社(現パナソニック子会社)が提供する複数のCCTVネットワークカメラには次の脆弱性が存在します。

  • クロスサイトリクエストフォージェリ (CWE-352) - CVE-2022-4621
なお、本件の発見者であるZero Science Labによって本脆弱性の検証コードが公開されています。

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、当該製品に対するHTTPリクエストを通じて、管理者権限でパスワード変更などをされる

対策方法

開発者によると当該製品のサポートは2019年で終了しているため、本脆弱性に対する修正は提供されないとのことです。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
パナソニック コネクト 三洋電機製品のサポート情報

参考情報

  1. ICS Advisory (ICSA-23-012-04)
    Panasonic Sanyo CCTV Network Camera
  2. Zero Science Lab
    Panasonic Sanyo CCTV Network Camera 2.03-0x CSRF Disable Authentication / Change Password

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia