JVNVU#92541395
Navarino Infinity のウェブインターフェースにおける複数の脆弱性

Navarino Infinity のウェブインターフェースには、複数の脆弱性が存在します。

• Navarino Infinity version 2.2 およびそれ以前のウェブインターフェース

SQL インジェクション (CWE-89) - CVE-2018-5384
Navarino Infinity には、ブラインド SQL インジェクションが可能になる脆弱性が存在します。

セッションの固定化 (CWE-384) - CVE-2018-5385
Navarino Infinity の導入環境によっては、GET パラメータで送信されるセッションIDが利用されるため、二要素認証が回避されセッションの固定化攻撃が行われる可能性があります。

別のパスやチャネルを介した認証回避 (CWE-288) - CVE-2018-5386
特定の URL へのアクセスにより使用可能な機能の一部には、認証を回避して重要な情報を取得される脆弱性が存在します。

認証されていない遠隔の第三者によって、認証の回避、アドミニストレータ機能の実行および SQL インジェクションを実行される可能性があります。

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者のウェブサイトによると、すべての Navarino Infinity ユーザに向け、hotfix が提供されているとのことです。