JVNVU#93378426
Advantech製R-SeeNetにおける複数の脆弱性

Advantech社が提供するR-SeeNetには、複数の脆弱性が存在します。

• R-SeeNet Versions 2.4.16およびそれ以前

Advantech社が提供するR-SeeNetは、Advantechルーターの監視に使用されるソフトウェアです。
R-SeeNetには、次の複数の脆弱性が存在します。

• SQLインジェクション（CWE-89） - CVE-2021-21915、CVE-2021-21916、CVE-2021-21917、CVE-2021-21918、CVE-2021-21919、CVE-2021-21920、CVE-2021-21921、CVE-2021-21922、CVE-2021-21923、CVE-2021-21924、CVE-2021-21925、CVE-2021-21926、CVE-2021-21927、CVE-2021-21928、CVE-2021-21929、CVE-2021-21930、CVE-2021-21931、CVE-2021-21932、CVE-2021-21933、CVE-2021-21934、CVE-2021-21935、CVE-2021-21936、CVE-2021-21937

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

  基本値: 7.7

• 不適切な権限管理（CWE-269） - CVE-2021-21910、CVE-2021-21911、CVE-2021-21912

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

  基本値: 8.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔のユーザーによって、細工されたHTTPリクエストを送信され、任意のSQLクエリを実行される - CVE-2021-21915、CVE-2021-21916、CVE-2021-21917、CVE-2021-21918、CVE-2021-21919、CVE-2021-21920、CVE-2021-21921、CVE-2021-21922、CVE-2021-21923、CVE-2021-21924、CVE-2021-21925、CVE-2021-21926、CVE-2021-21927、CVE-2021-21928、CVE-2021-21929、CVE-2021-21930、CVE-2021-21931、CVE-2021-21932、CVE-2021-21933、CVE-2021-21934、CVE-2021-21935、CVE-2021-21936、CVE-2021-21937
• ローカルネットワークのユーザによって、細工されたファイルをシステム内で置き換えられることで、NT SYSTEM権限でファイルを実行される - CVE-2021-21910、CVE-2021-21911、CVE-2021-21912

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• R-SeeNet Versions 2.4.17