公開日:2023/11/01 最終更新日:2023/11/01

JVNVU#99737177
Zavio製IP Cameraにおける複数の脆弱性

概要

Zavioが提供するIP Cameraには、複数の脆弱性が存在します。

影響を受けるシステム

  • CF7500 バージョン M2.1.6.05
  • CF7300 バージョン M2.1.6.05
  • CF7201 バージョン M2.1.6.05
  • CF7501 バージョン M2.1.6.05
  • CB3211 バージョン M2.1.6.05
  • CB3212 バージョン M2.1.6.05
  • CB5220 バージョン M2.1.6.05
  • CB6231 バージョン M2.1.6.05
  • B8520 バージョン M2.1.6.05
  • B8220 バージョン M2.1.6.05
  • CD321 バージョン M2.1.6.05

詳細情報

Zavioが提供するIP Cameraには、次の複数の脆弱性が存在します。

  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2023-3959、CVE-2023-45225、CVE-2023-43755、CVE-2023-39435、
  • OSコマンドインジェクション (CWE-78) - CVE-2023-4249

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 細工されたリクエストを処理した場合、コードを実行される - CVE-2023-3959、CVE-2023-45225、CVE-2023-43755、CVE-2023-39435
  • バイナリの実装とネットワークリクエストの処理に問題があり、コマンドを実行される - CVE-2023-4249

対策方法

製品の使用を停止する
CISAによると、本脆弱性の影響を受ける製品のサポートは既に終了しており、2023年11月1日時点で、開発者も活動を停止しているため、製品の使用停止を推奨するとのことです。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-23-304-03
    Zavio IP Camera

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia