JVNVU#93687472
InHand Networks製ルーターInRouterにおける複数の脆弱性

InHand Networks社が提供するInRouterには、複数の脆弱性が存在します。

• InRouter302-V3.5.56より前のファームウェアバージョン
• InRouter615-S V2.3.0.r5542より前のファームウェアバージョン

InHand Networks社が提供するInRouterには、次の複数の脆弱性が存在します。

• 重要な情報の平文送信 (CWE-319) - CVE-2022-22597
• OSコマンドインジェクション (CWE-78) - CVE-2022-22598
• 予測可能な Salt を用いた一方向ハッシュの使用 (CWE-760) - CVE-2022-22599
• 不適切なアクセス制御 (CWE-284) - CVE-2022-22600
• 予測可能なランダム値の使用 (CWE-330) - CVE-2022-22601

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、通信を傍受され、構成情報やMQTT認証情報などの機密情報を窃取されたり、MQTTコマンドインジェクションを実行される - CVE-2022-22597
• 遠隔の高権限ユーザによって、root権限でコードが実行される - CVE-2022-22598
• 遠隔の第三者によって、MQTT認証情報を含んだHTTP/HTTPSレスポンスを解析され、機密情報を窃取される - CVE-2022-22599
• 遠隔の第三者によって、既存のトピック名を指定することでメッセージを送受信され、ファームウェアの更新などを実行される - CVE-2022-22600
• 遠隔の第三者によって、同じクラウドプラットフォームで管理されている他のInHandデバイスに関する情報を窃取される - CVE-2022-22601

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。