JVNVU#93676543
複数のVonets製品に複数の脆弱性

Vonetsが提供する複数の製品には、複数の脆弱性が存在します。

• VAR1200-H バージョン3.3.23.6.9およびそれ以前
• VAR1200-L バージョン3.3.23.6.9およびそれ以前
• VAR600-H バージョン3.3.23.6.9およびそれ以前
• VAP11AC バージョン3.3.23.6.9およびそれ以前
• VAP11G-500S バージョン3.3.23.6.9およびそれ以前
• VBG1200 バージョン3.3.23.6.9およびそれ以前
• VAP11S-5G バージョン3.3.23.6.9およびそれ以前
• VAP11S バージョン3.3.23.6.9およびそれ以前
• VAR11N-300 バージョン3.3.23.6.9およびそれ以前
• VAP11G-300 バージョン3.3.23.6.9およびそれ以前
• VAP11N-300 バージョン3.3.23.6.9およびそれ以前
• VAP11G バージョン3.3.23.6.9およびそれ以前
• VAP11G-500 バージョン3.3.23.6.9およびそれ以前
• VBG1200 バージョン3.3.23.6.9およびそれ以前
• VAP11AC バージョン3.3.23.6.9およびそれ以前
• VGA-1000 バージョン3.3.23.6.9およびそれ以前

Vonetsが提供する複数の製品には、次の複数の脆弱性が存在します。

• ハードコードされた認証情報の使用（CWE-798）－CVE-2024-41161
• 不適切なアクセス制御（CWE-284）－CVE-2024-29082
• パストラバーサル（CWE-22）－CVE-2024-41936
• コマンドインジェクション（CWE-77）－CVE-2024-37023
• 例外条件の不適切な処理（CWE-703）－CVE-2024-39815
• スタックベースのバッファオーバーフロー（CWE-121）－CVE-2024-39791
• 強制ブラウジング（CWE-425）－CVE-2024-42001

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証されていない遠隔の攻撃者によって、管理者の認証情報を窃取され、認証を回避される（CVE-2024-41161）
• 認証されていない遠隔の攻撃者によって、認証を回避され、当該デバイスを出荷時設定にリセットされる（CVE-2024-29082）
• 認証されていない遠隔の攻撃者によって、任意のファイルを読み取られ、認証を回避される（CVE-2024-41936）
• 認証された遠隔の攻撃者によって、任意のOSコマンドを実行される（CVE-2024-37023）
• 認証されていない遠隔の攻撃者によって、サービス運用妨害 (DoS) 状態を引き起こされる（CVE-2024-39815）
• 認証されていない遠隔の攻撃者によって、任意のコードを実行される（CVE-2024-39791）
• 認証されていない遠隔の攻撃者によって、細工されたリクエストを介して認証を回避される（CVE-2024-42001）

開発者に問い合わせる
2024年8月2日現在、開発者によるアップデートなどの情報提供が確認できておりません。
詳細は、開発者にお問い合わせください。