JVNVU#91738719
Nexx製Smart Home Deviceにおける複数の脆弱性

Nexx社が提供するSmart Home Deviceには、複数の脆弱性が存在します。

• Nexx Garage Door Controller (NXG-100B, NXG-200) バージョン nxg200v-p3-4-1およびそれ以前
• Nexx Smart Plug (NXPG-100W) バージョン nxpg100cv4-0-0およびそれ以前
• Nexx Smart Alarm (NXAL-100) バージョン nxal100v-p1-9-1およびそれ以前

Nexx社が提供するSmart Home Deviceには、次の複数の脆弱性が存在します。

• ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-1748
• ユーザ識別情報操作による権限チェック回避 (CWE-639) - CVE-2023-1749、CVE-2023-1750
• 不適切な入力確認 (CWE-20) - CVE-2023-1751
• 不適切な認証 (CWE-287) - CVE-2023-1752

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、認証情報を窃取され、当該製品を制御される - CVE-2023-1748
• 有効なNexxHome deviceIdを持つユーザによって、当該製品のAPIを実行される - CVE-2023-1749
• 有効なNexxHome deviceIdを持つユーザによって、デバイス履歴やデバイス情報を窃取されたり、デバイス設定を変更されたりする - CVE-2023-1750
• 他ユーザによって、デバイスのアラーム情報や信号を窃取される - CVE-2023-1751
• 他ユーザによって、既に登録済みのアラームや関連デバイスを登録される - CVE-2023-1752

開発者に問い合わせる
2023年4月5日現在、開発者によるアップデートなどの情報提供が確認できておりません。
詳細は、開発者にお問い合わせください。