公開日:2022/02/04 最終更新日:2022/02/04
JVNVU#91909595
Airspan Networks社の複数のMimosa製品における複数の脆弱性
Airspan Networks社が提供する複数のMimosa製品には、複数の脆弱性が存在します。
- MMP v1.0.3より前のバージョン
- PTP Cシリーズ v2.8.6.1より前のバージョン
- PTMP Cシリーズ v2.5.4.1より前のバージョン
- PTMP A5x v2.5.4.1より前のバージョン
Airspan Networks社が提供する複数のMimosa製品には、次の複数の脆弱性が存在します。
- 不適切な認可処理(CWE-285) - CVE-2022-21196
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0 - 不正な認証(CWE-863) - CVE-2022-21141
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0 - サーバサイドリクエストフォージェリ(CWE-918) - CVE-2022-21215
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0 - SQLインジェクション(CWE-89) - CVE-2022-21176
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 8.6 - 信頼されていないデータのデシリアライズ(CWE-502) - CVE-2022-0138
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 7.5 - OSコマンドインジェクション(CWE-78) - CVE-2022-21143
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 解読される恐れの高い暗号アルゴリズムの使用(CWE-327) - CVE-2022-21800
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、任意のコードを実行され、サービス拒否(DoS)状態になったり、機微な情報を窃取される - CVE-2022-21196、CVE-2022-21141
- 遠隔の第三者によって、任意のコマンドを実行される -CVE-2022-21143
- 遠隔の第三者によって、サーバにWebリクエストを実行させ、クラウドホスティングプラットフォーム上のルートへのアクセス、秘密鍵へのアクセス、構成変更などを実行される - CVE-2022-21215
- 遠隔の第三者によって、機微な情報を窃取される - CVE-2022-21176
- 遠隔の第三者によって、任意のクラスを作成される - CVE-2022-0138
- 遠隔の第三者によって、ハッシュ化したパスワードを解読される - CVE-2022-21800
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンへのアップデートを推奨しています。
- MMP v1.0.4以降
- PTP Cシリーズ v2.90以降
- PTMP Cシリーズ v2.9.0以降
- PTMP A5x v2.9.0以降
| ベンダ | リンク |
| PTMP Cシリーズ(要ログイン) | |
| PTMP A5x(要ログイン) | |
| Airspan Networks | MMP(要ログイン) |
| PTP C5xシリーズ(要ログイン) | |
| PTP C5cシリーズ(要ログイン) |
