JVNVU#94591337
シャープ製クラウド連携エネルギーコントローラ（機器連携コントローラ）における複数の脆弱性

シャープ株式会社が提供するクラウド連携エネルギーコントローラ（機器連携コントローラ）には、複数の脆弱性が存在します。

• クラウド連携エネルギーコントローラ（機器連携コントローラ）
  • JH-RVB1 Ver.B0.1.9.1 およびそれ以前
  • JH-RV11 Ver.B0.1.9.1 およびそれ以前

シャープ株式会社が提供するクラウド連携エネルギーコントローラ（機器連携コントローラ）には、次の複数の脆弱性が存在します。

• 認証不備の脆弱性（CWE-287）- CVE-2024-23783

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

  基本値: 7.1

• アクセス制御の不備（CWE-284）- CVE-2024-23784

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N

  基本値: 4.7

• クロスサイトリクエストフォージェリ（CWE-352）- CVE-2024-23785

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:L

  基本値: 6.1

• 格納型クロスサイトスクリプティング（CWE-79）- CVE-2024-23786

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:L

  基本値: 5.2

• パストラバーサル（CWE-22）- CVE-2024-23787

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

  基本値: 7.4

• サーバーサイドリクエストフォージェリ（CWE-918）- CVE-2024-23788

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L

  基本値: 4.7

• OSコマンドインジェクション（CWE-78）- CVE-2024-23789

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 9.6

CVE-2024-23783
当該製品にアクセス可能な第三者によって、ベーシック認証を必要とせずアクセスされる

CVE-2024-23784
当該製品にアクセス可能な第三者によって、管理画面に表示されるユーザー名およびハッシュ化されたパスワードを取得される

CVE-2024-23785
当該製品にアクセス可能な第三者によって、当該製品の設定が変更される

CVE-2024-23786
当該製品の管理画面にアクセスしているユーザーのウェブブラウザ上で任意のスクリプトが実行される

CVE-2024-23787
当該製品にアクセス可能な第三者によって、当該製品上の任意のファイルを取得される

CVE-2024-23788
当該製品にアクセス可能な第三者によって、当該製品から任意のHTTPリクエスト（GET）を送信される

CVE-2024-23789
当該製品にアクセス可能な第三者によって、当該製品上で任意のコマンドを実行される

アップデートする
クラウド連携エネルギーコントローラ（機器連携コントローラ）をVer.B0.2.0.0にアップデートしてください。
クラウド連携エネルギーコントローラ（機器連携コントローラ）がインターネットに接続されている環境において、自動アップデートが適用されます。

ワークアラウンドを実施する
次の回避策もしくは軽減策を適用することで、本脆弱性の影響を軽減することが可能です。

• 当該製品を直接インターネットに接続せず、ルーター等で保護されたネットワーク内で使用する
• 無線LANルーターを使用している場合は、強固な暗号化方式の設定をする
• 管理用パスワードを初期状態から変更する
• ファームウェアを常に最新の状態に保つ