公開日:2024/05/08 最終更新日:2024/05/08

JVNVU#95671291
CyberPower製PowerPanel Businessにおける複数の脆弱性

概要

CyberPowerが提供するPowerPanel Businessには、複数の脆弱性が存在します。

影響を受けるシステム

  • PowerPanel Business 4.9.0およびそれ以前

詳細情報

CyberPowerが提供するPowerPanel Businessには、次の複数の脆弱性が存在します。

  • ハードコードされたパスワードの使用(CWE-259)-CVE-2024-34025、CVE-2024-33625
  • 相対パストラバーサル(CWE-23)-CVE-2024-33615
  • ハードコードされた認証情報の使用(CWE-798)-CVE-2024-32053
  • 利用可能なデバッグ機能(CWE-489)-CVE-2024-32047
  • 復元可能な形式でのパスワード保存(CWE-257)-CVE-2024-32042
  • SQLインジェクション(CWE-89)-CVE-2024-31856
  • ハードコードされた暗号鍵の使用(CWE-321)-CVE-2024-31410
  • 不適切な認可(CWE-285)-CVE-2024-31409

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 認証を回避され、管理者権限を取得される(CVE-2024-34025)
  • JWTトークンを偽造され、認証を回避される(CVE-2024-33625)
  • 細工されたZipファイルをインポートされた場合、意図した範囲外のサーバへのファイルの書き込みが可能になり、結果としてリモートからコードを実行される(CVE-2024-33615)
  • 当該アプリケーションの権限でサービスにアクセスされる(CVE-2024-32053)
  • 当該サーバにアクセスされる(CVE-2024-32047)
  • 暗号化されたパスワードを復号される(CVE-2024-32042)
  • 特定のMQTTアクセス許可を持つ攻撃者によって、当該デバイスに対して細工されたメッセージを挿入され、当該システム内に任意のファイルを書き込まれたり、リモートからコードを実行されたりする(CVE-2024-31856)
  • 攻撃者によって、当該システム内のクライアントになりすまされ、悪意のあるデータを送信される(CVE-2024-31410)
  • 当該システムからデータを窃取される(CVE-2024-31409)
 

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
CyberPower PowerPanel Business for Windows
PowerPanel Business v4.10.1 Update | CyberPower Advisory Notices

参考情報

  1. ICS Advisory | ICSA-24-123-01
    CyberPower PowerPanel business

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia