JVNVU#92068429
Dataprobe製iBoot-PDUファームウェアにおける複数の脆弱性

Dataprobeが提供するiBoot-PDUファームウェアには、複数の脆弱性が存在します。

• Dataprobe iBoot-PDU ファームウェア 1.42.06162022 より前のバージョン

Dataprobeが提供するiBoot-PDUファームウェアには、次の複数の脆弱性が存在します。

• OSコマンドインジェクション (CWE-78) - CVE-2022-3183
• パストラバーサル (CWE-22) - CVE-2022-3184
• 情報漏えい (CWE-200) - CVE-2022-3185
• 不適切なアクセス制御 (CWE-284) - CVE-2022-3186
• 不適切な認可 (CWE-285) - CVE-2022-3187
• 不適切な認証 (CWE-863) - CVE-2022-3188
• サーバサイドリクエストフォージェリ (CWE-918) - CVE-2022-3189

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

• OSコマンドを実行される - CVE-2022-3183
• PHPページにアクセスされ、webrootディレクトリにファイルを書き込まれる - CVE-2022-3184
• デバイスに関する機密データを窃取される - CVE-2022-3185
• メイン管理ページを経由し、他のデバイス情報にアクセスされる - CVE-2022-3186
• 特定のPHPページにアクセスされ、配電ユニットのコンセントの状態を読み取られる - CVE-2022-3187
• PHPインデックスページを開かれ、デバイスの履歴ファイルをダウンロードされる - CVE-2022-3188
• 細工されたPHPスクリプトによって、ホストパラメータを変更される - CVE-2022-3189

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、使用していない場合はSNMPを無効にすることも推奨しています。

詳細は、開発者が提供する情報をご確認ください。