JVNVU#90523727
GE Digital 製 APM Classic に複数の脆弱性

GE Digital が提供する APM Classic には、複数の脆弱性が存在します。

• APM Classic Version 4.4 およびそれ以前

GE Digital が提供する Digital APM Classic は、設備故障のデータ分析および処理ツールです。APM Classic には次の複数の脆弱性が存在します。

• 識別情報を操作することによる認可バイパス (CWE-639) - CVE-2020-16240

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• ソルトを使用しない一方向性ハッシュの使用 (CWE-759) - CVE-2020-16244

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 安全でないオブジェクト直接参照 (insecure direct object reference : IDOR) の脆弱性に起因して、遠隔の第三者によって、アクセス権限のない機能を利用され、ユーザーアカウントデータを JSON フォーマットでダウンロードされる。結果として、遠隔の第三者によって、適切な権限なしにユーザーアカウントに関する機微な情報を窃取される - CVE-2020-16240
• パスワードのハッシュ計算時にソルトを使用していないため、パスワードが復号される。IDOR 脆弱性 (CVE-2020-16240) を悪用された結果、攻撃者によりすべてのユーザーアカウントデータを窃取され、その後パスワードを復元される - CVE-2020-16244

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。