公開日:2023/03/10 最終更新日:2023/03/10

JVNVU#97942133
Akuvox製E11における複数の脆弱性

概要

Akuvoxが提供するE11には、複数の脆弱性が存在します。

影響を受けるシステム

  • E11 すべてのバージョン

詳細情報

Akuvoxが提供するE11はビデオドアフォンです。E11には、次の複数の脆弱性が存在します。

  • CBC モードにおけるランダムな初期化ベクトルの不使用 (CWE-329) - CVE-2023-0343
  • ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2023-0355
  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-0354
  • 復元可能な形式でのパスワード保存 (CWE-257) - CVE-2023-0353
  • 脆弱なパスワードリカバリ (CWE-640) - CVE-2023-0352
  • コードインジェクション (CWE-94) - CVE-2023-0351
  • 外部から提供されたファイルのファイル名や拡張子への依存 (CWE-646) - CVE-2023-0350
  • 権限チェックの欠如 (CWE-862) - CVE-2023-0349
  • 不適切なアクセス制御 (CWE-284) - CVE-2023-0348
  • 情報漏えい (CWE-200) - CVE-2023-0347
  • 不適切な認証 (CWE-287) - CVE-2023-0346
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-0345
  • 非公開の機能 (CWE-912) - CVE-2023-0344

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、メッセージを解読される - CVE-2023-0343
  • 遠隔の第三者によって、機微な情報を窃取される - CVE-2023-0355
  • 遠隔の第三者によって、機微な情報を窃取されたり、パケットを傍受される - CVE-2023-0354
  • 高権限ユーザによって、パスワードを復号される - CVE-2023-0353
  • 遠隔の第三者によって、パスワードをリセットされる - CVE-2023-0352
  • ユーザによって、実行可能なコマンドを含むファイルをアップロードされる - CVE-2023-0351
  • ユーザによって、ファイルをアップロードされる - CVE-2023-0350
  • 遠隔の第三者によって、カメラ画像やビデオを閲覧されたり、記録される - CVE-2023-0349
  • 遠隔の第三者によって、他のAkuvoxデバイスにアクセスされ、呼び出される - CVE-2023-0348
  • 遠隔の第三者によって、Akuvoxクラウド上のデバイスを特定される - CVE-2023-0347
  • 遠隔の第三者によって、Akuvoxクラウドとデバイスにアクセスされる - CVE-2023-0346
  • 遠隔の第三者によって、当該製品のSSHサーバにrootでアクセスされる - CVE-2023-0345
  • 当該製品のdropbear SSHで、安全でないオプションを使用している - CVE-2023-0344

対策方法

開発者に問い合わせる
本脆弱性の詳細や対策に関しては、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
Akuvox Contact Us

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia