公開日:2023/01/11 最終更新日:2023/01/11

JVNVU#94394798
Black Box製KVMエクステンダにおけるディレクトリトラバーサルの脆弱性

概要

Black Box社が提供するKVMエクステンダには、ディレクトリトラバーサルの脆弱性が存在します。

影響を受けるシステム

  • Black Box KVM ACR1000A-R-R2 ファームウェアバージョンv3.4.31307
  • Black Box KVM ACR1000A-T-R2 ファームウェアバージョンv3.4.31307
  • Black Box KVM ACR1002A-T ファームウェアバージョン v3.4.31307
  • Black Box KVM ACR1002A-R ファームウェアバージョン v3.4.31307
  • Black Box KVM ACR1020A-T ファームウェアバージョン v3.4.31307

詳細情報

Black Box社が提供するKVMエクステンダには、次の脆弱性が存在します。

  • ディレクトリトラバーサル (CWE-22) - CVE-2022-4636
2023年1月11日現在、本脆弱性の実証コードの公開を確認しています。

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、ユーザ認証情報を含む機微な情報を窃取される

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Black Box Agility KVM Over-IP-Matrix Receiver - DVI-D, USB 2.0
Agility KVM Over IP-Matrix Transmitter - DVI-D, USB 2.0
Agility KVM-Over-IP Matrix Switch Transmitter - Dual-Head, Dual-Link DVI-D, USB 2.0
Agility KVM Over IP Matrix Receiver - Dual-Head, Dual-Link DVI-D, USB 2.0
Agility KVM-Over-IP Matrix, Dual-Head DVI-D, USB 2.0, KVM Transmitter

参考情報

  1. ICS Advisory (ICSA-23-010-01)
    Black Box KVM

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia