JVNVU#92713302
Sewio製RTLS Studioにおける複数の脆弱性

Sewio社が提供するRTLS Studioには、複数の脆弱性が存在します。

• RTLS Studio バージョン2.0.0からバージョン2.6.2まで

Sewio社が提供するRTLS Studioは、建物内のエンティティ（人や物）の動きを追跡し、位置を特定する屋内トラッキング用システムのスムーズな設置、展開、保守、制御を実現するオールインワンソフトウェアソリューションです。RTLS Studioには、次の複数の脆弱性が存在します。

• ハードコードされたパスワードの使用 (CWE-259) - CVE-2022-45444
• OSコマンドインジェクション (CWE-78) - CVE-2022-47911、CVE-2022-43483
• 境界外書き込み (CWE-787) -CVE-2022-41989
• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2022-45127、CVE-2022-47395
• 不適切な入力検証 (CWE-20) - CVE-2022-47917、CVE-2022-43455
• クロスサイトスクリプティング (CWE-79) - CVE-2022-46733

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、データベースにログインされる - CVE-2022-45444
• 遠隔の高権限ユーザによって、アプリケーションの機密機能にアクセスされ、任意のシステムコマンドを実行される - CVE-2022-47911、CVE-2022-43483
• 遠隔の第三者によって、サービス運用妨害（DoS）状態を引き起こされたり、任意のコードを実行されたりする - CVE-2022-41989
• 遠隔の第三者によって、任意のバックアップ操作を実行され、サービス運用妨害（DoS）状態を引き起こされる - CVE-2022-45127
• 遠隔の第三者によって、任意のメンテナンス操作を実行され、サービス運用妨害（DoS）状態を引き起こされる - CVE-2022-47395
• 遠隔の高権限ユーザによって、任意のファイルを削除され、サービス運用妨害（DoS）状態を引き起こされる - CVE-2022-47917
• 遠隔の第三者によって、任意のコマンドを実行される - CVE-2022-46733
• 遠隔の高権限ユーザによって、サーバー上で実行されている任意のサービスを開始、停止、または再起動される - CVE-2022-43455

CVE-2022-47911、CVE-2022-43483、CVE-2022-45127、CVE-2022-47395、CVE-2022- 47917、CVE-2022-46733、CVE-2022-43455
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートに加えて、ワークアラウンドの適用を推奨しています。

CVE-2022-45444、CVE-2022-41989
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。