JVNVU#91112197
複数のgoTenna製品における複数の脆弱性

goTennaが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-47121、CVE-2024-47122、CVE-2024-47123、CVE-2024-47124、CVE-2024-47125、CVE-2024-47126、CVE-2024-47127、CVE-2024-47128、CVE-2024-47129、CVE-2024-47130

• goTenna Pro App バージョン1.6.1およびそれ以前

• goTenna Pro ATAK Plugin バージョン1.9.12およびそれ以前

goTennaが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不十分なパスワード強度（CWE-521）－CVE-2024-47121、CVE-2024-45374
• 重要な情報のセキュアでない格納（CWE-922）－CVE-2024-47122、CVE-2024-43694
• 完全性チェックの欠如（CWE-353）－CVE-2024-47123、CVE-2024-43108
• 重要な情報の平文送信（CWE-319）－CVE-2024-47124、CVE-2024-45838
• エンドポイントの不適切な制限（CWE-923）－CVE-2024-47125
• 暗号論的強度が不十分なPRNGの使用（CWE-338）－CVE-2024-47126、CVE-2024-45723
• 弱い認証（CWE-1390）－CVE-2024-47127、CVE-2024-41722
• 送信データへの機微な不要情報の挿入（CWE-201）－CVE-2024-47128、CVE-2024-41931、CVE-2024-43814
• リクエストへの応答の違いに起因する情報漏えい（CWE-204）－CVE-2024-47129、CVE-2024-41715
• 重要な機能に対する認証の欠如（CWE-306）－CVE-2024-47130

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 暗号化して送信されたブロードキャストメッセージを復号化される（CVE-2024-47121、CVE-2024-45374）
• 暗号化された通信を復号化される（CVE-2024-47122、CVE-2024-43694）
• メッセージを改ざんされる（CVE-2024-47123、CVE-2024-43108）
• ユーザ情報が漏えいする（CVE-2024-47124、CVE-2024-45838）
• 認証されていない攻撃者によって、メッセージを傍受されたり操作されたりする（CVE-2024-47125）
• 使用されているランダム関数が暗号化の使用に適さない（CVE-2024-47126、CVE-2024-45723）
• 任意のGIDおよびコールサインを持つカスタムメッセージを挿入される（CVE-2024-47127、CVE-2024-41722）
• ブロードキャストキー名を取得される（CVE-2024-47128、CVE-2024-41931）
• ペイロードの長さを取得される（CVE-2024-47129、CVE-2024-41715）
• 遠隔の認証されていない攻撃者によって、ローカルの公開鍵を更新される（CVE-2024-47130）
• 位置情報を取得される（CVE-2024-43814）

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。