JVNVU#98894480
Dover Fueling Solutions製MAGLINK LXにおける複数の脆弱性

Dover Fueling Solutionsが提供するMAGLINK LX Web Console Configurationには、複数の脆弱性が存在します。

• MAGLINK LX Web Console Configuration バージョン 2.5.1
• MAGLINK LX Web Console Configuration バージョン 2.5.2
• MAGLINK LX Web Console Configuration バージョン 2.5.3
• MAGLINK LX Web Console Configuration バージョン 2.6.1
• MAGLINK LX Web Console Configuration バージョン 2.11
• MAGLINK LX Web Console Configuration バージョン 3.0
• MAGLINK LX Web Console Configuration バージョン 3.2
• MAGLINK LX Web Console Configuration バージョン 3.3

Dover Fueling Solutionsが提供するMAGLINK LX Web Console Configurationには、次の複数の脆弱性が存在します。

• 代替パスまたはチャネルを使用した認証回避 (CWE-288) - CVE-2023-41256
• 不適切なアクセス制御 (CWE-284) - CVE-2023-36497
• パストラバーサル (CWE-22) - CVE-2023-38256

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、当該製品にアクセスされる - CVE-2023-41256
• ゲストユーザによって、管理者権限を取得される - CVE-2023-36497
• 高権限ユーザによって、当該システムに保存されているファイルにアクセスされる - CVE-2023-38256

アップデートもしくは後続製品に移行する
開発者は、MAGLINK LX 3のサポートを終了し、MAGLINK LX 4をリリースしています。
開発者によると、本脆弱性はMAGLINK LX 3 バージョン3.4.2.2.6およびMAGLINK LX 4で修正されているとのことです。