JVNVU#92344106
ProPump and Controls製Osprey Pump Controllerにおける複数の脆弱性

ProPump and Controls社が提供するOsprey Pump Controllerには、複数の脆弱性が存在します。

• Osprey Pump Controller 20230518より前のバージョン

ProPump and Controls社が提供するOsprey Pump Controllerには、次の複数の脆弱性が存在します。

• エントロピー不足 (CWE-331) - CVE-2023-28395
• GETリクエストのクエリ文字列からの情報漏洩 (CWE-598) - CVE-2023-28375
• ハードコードされたパスワードの使用 (CWE-259) - CVE-2023-28654
• OSコマンドインジェクション (CWE-78) - CVE-2023-27886、CVE-2023-27394
• クロスサイトスクリプティング (CWE-79) - CVE-2023-28648
• 代替パスまたはチャネルを使用した認証回避 (CWE-288) - CVE-2023-28398
• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2023-28718
• コマンドインジェクション (CWE-77) - CVE-2023-28712

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、セッションIDを予測されセッションをハイジャックされる - CVE-2023-28395
• 遠隔の第三者によって、デバイスの任意のファイルやシステム情報を窃取される - CVE-2023-28375
• ハードコードされたパスワードによって、Web管理インターフェースの管理者権限でログインされる - CVE-2023-28654
• 遠隔の第三者によって、細工されたPOSTパラメータを送信され任意のシェルコマンドを実行される - CVE-2023-27886
• 遠隔の第三者によって、細工されたGETパラメータを送信され任意のシェルコマンドを実行される - CVE-2023-27394
• 当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-28648
• 遠隔の第三者によって、ユーザアカウントを作成され、コントローラの操作やデータの変更、シャットダウンが行われる - CVE-2023-28398
• ログインしているユーザが細工したHTTPリクエストによって、管理者権限で特定のアクションを実行される - CVE-2023-28718
• 遠隔の第三者によって、www-data権限でシステムにアクセスされる - CVE-2023-28712

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者にお問い合わせください。