JVNVU#96898747
Reolink 製 P2P Cameras シリーズにおける複数の脆弱性

Reolink が提供する P2P Cameras シリーズには、複数の脆弱性が存在します。

• RLC-4XX シリーズ
• RLC-5XX シリーズ
• RLN-X10 シリーズ

Reolink P2P Cameras シリーズは Reolink が提供するネットワーク IP カメラです。当該製品には、次の複数の脆弱性が存在します。

• ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2020-25173

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

  基本値: 7.7

• 重要な情報の平文での送信 (CWE-319) - CVE-2020-25169

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

  基本値: 9.1

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• ローカルネットワークにアクセス可能な第三者によって、ハードコードされた暗号鍵を窃取されることで、ローカルネットワーク外から当該製品に侵入される - CVE-2020-25173
• 遠隔の第三者によって、カメラ映像のような機微な情報にアクセスされる - CVE-2020-25169

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートする
• P2P 機能を無効にする