公開日:2018/03/29 最終更新日:2018/03/29

JVNVU#92541395
Navarino Infinity のウェブインターフェースにおける複数の脆弱性

概要

Navarino Infinity のウェブインターフェースには、複数の脆弱性が存在します。

影響を受けるシステム

  • Navarino Infinity version 2.2 およびそれ以前のウェブインターフェース

詳細情報

SQL インジェクション (CWE-89) - CVE-2018-5384
Navarino Infinity には、ブラインド SQL インジェクションが可能になる脆弱性が存在します。

セッションの固定化 (CWE-384) - CVE-2018-5385
Navarino Infinity の導入環境によっては、GET パラメータで送信されるセッションIDが利用されるため、二要素認証が回避されセッションの固定化攻撃が行われる可能性があります。

別のパスやチャネルを介した認証回避 (CWE-288) - CVE-2018-5386
特定の URL へのアクセスにより使用可能な機能の一部には、認証を回避して重要な情報を取得される脆弱性が存在します。

想定される影響

認証されていない遠隔の第三者によって、認証の回避、アドミニストレータ機能の実行および SQL インジェクションを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者のウェブサイトによると、すべての Navarino Infinity ユーザに向け、hotfix が提供されているとのことです。

参考情報

  1. CERT/CC Vulnerability Note VU#184077
    Navarino Infinity web interface is affected by multiple vulnerabilities.

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-5384
CVE-2018-5385
CVE-2018-5386
JVN iPedia