公開日:2024/05/31 最終更新日:2024/05/31

JVNVU#94872523
セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130におけるコマンドインジェクションの脆弱性

概要

セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130には、コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • SkyBridge MB-A100/MB-A110 ファームウェア Ver. 4.2.2およびそれ以前のバージョン
  • SkyBridge BASIC MB-A130 ファームウェア Ver. 1.5.5およびそれ以前のバージョン

詳細情報

セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130には、コマンドインジェクション(CWE-77)の脆弱性が存在します。

想定される影響

当該製品において遠隔監視制御機能が有効化されている場合、製品にアクセス可能な第三者によって、任意のコマンドを実行されたり、管理者権限でログインされたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
開発者は、本脆弱性を修正した以下のファームウェアをリリースしています。

  • SkyBridge MB-A100/MB-A110 Ver. 4.2.3以降
  • SkyBridge BASIC MB-A130 Ver. 1.5.7以降
ワークアラウンドを実施する
ファームウェアのアップデートが困難である場合は、開発者が推奨する以下の回避策または軽減策を実施してください。
[回避策]
  • 遠隔監視制御機能の無効化
  • 遠隔監視制御機能における、認証の有効化または暗号化の有効化
[軽減策]
  • 閉域網回線の利用
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
セイコーソリューションズ株式会社 SkyBridge MB-A100/110・SkyBridge BASIC MB-A130の脆弱性と対応について

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8

分析結果のコメント

WAN側からのアクセスにより侵害される状況を想定しています。

謝辞

この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-32850
JVN iPedia