公開日:2020/10/09 最終更新日:2021/01/06
JVNVU#96766957
複数の Sensormatic Electronics 製品に不適切な認可処理の脆弱性
Sensormatic Electronics 社 (Johnson Controls 子会社) が提供する複数の製品には、不適切な認可処理の脆弱性が存在します。
- American Dynamics victor Web Client v5.4.1 およびそれ以前のすべてのバージョン
- Software House CCURE Web Client v2.80 およびそれ以前のすべてのバージョン
American Dynamics victor Web Client は、American Dynamics 社のビデオ管理システムである victor にアクセスするためのソフトウェアです。
Web Client は、
American Dynamics victor Web Client および には、不適切な認可処理の脆弱性 (CWE-285) が存在します。隣接するネットワークからアクセスされた場合、当該製品ではユーザの認可処理が適切に行われず、権限により保護された複数の機能を不正に実行されるおそれがあります。
隣接するネットワーク上の第三者によって、システム上の任意のファイルを削除されたり、サービス運用妨害 (DoS) 攻撃を受けたりするおそれがあります。
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
American Dynamics victor Web Client
- American Dynamics victor Web Client v5.6
- C•CURE Web Client v2.60 およびそれ以前は、v2.70 およびそれ以上にアップグレードした後、次のバージョンにアップデートしてください。
- C•CURE Web Client v2.70 は、WebClient_c2.70_5.2_Update02 にアップデートしてください。
- C•CURE Web Client v2.80 は、WebClient_c2.80_v5.4.1_Update04 にアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2020/10/27 |
| ベンダ | リンク |
| Johnson Controls | JCI-PSA-2020-09 |
| Software House: Support (Registered Users Only) |
-
ICS Advisory (ICSA-20-282-01)
Johnson Controls Sensormatic Electronics American Dynamics victor Web Client and Software House C•CURE Web Client
CVSS v3
CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
基本値:
7.1
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
- 2020/10/27
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2021/01/06
- 【タイトル】を変更しました。【影響を受けるシステム】該当する製品 (C•CURE Web Client) を追加しました。【詳細情報】追加した製品の説明を追加しました。【対策方法】追加した製品のアップデートについて記載しました。【ベンダ情報リンク】アップデートファイルのダウンロードサイトを追加しました。【参考情報】ICSAのタイトルを修正しました。
