公開日:2020/07/15 最終更新日:2020/07/15

JVNVU#95694616
Advantech 製 iView に複数の脆弱性

概要

Advantech が提供する iView には、複数の脆弱性があります。

影響を受けるシステム

  • iView version 5.6 およびそれ以前

詳細情報

iView は Advantech 社が提供する SNMP ベースの機器管理ソフトウェアです。iView には次の複数の脆弱性が存在します。

  • SQLインジェクション (CWE-89) - CVE-2019-14497
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • パストラバーサル (CWE-22) - CVE-2019-14507
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • コマンドインジェクション (CWE-77) - CVE-2019-14505
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H 基本値: 8.2
  • 不適切な入力検証 (CWE-20) - CVE-2019-14503
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 重要な機能に対する認証欠如 (CWE-306) - CVE-2019-14501
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L 基本値: 8.2
  • 不適切なアクセス制御 (CWE-284) - CVE-2019-14499
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

  • SQL クエリ生成時に、遠隔の第三者により不正な文字列が挿入され、ユーザの認証情報が窃取されたり、機微な情報の読み出し・改ざんが行われたり、任意のコードが実行されたりする - CVE-2020-14497
  • 複数箇所におけるパストラバーサルにより、遠隔の第三者によって、任意のファイルを生成またはダウンロードされたり、システムの可用性を制限されたり、任意のコードを実行されたりする - CVE-2020-14507
  • 遠隔の第三者によってコマンド文字列を含む HTTP GET もしくは POST リクエストを送信されることで、任意のコードを実行される - CVE-2020-14505
  • 遠隔の第三者によって任意のコードを実行される - CVE-2020-14503
  • 遠隔の第三者によって、平文で記録された管理者の認証情報を含むユーザ情報を窃取されたり、管理者アカウントを削除されたりする - CVE-2020-14501
  • 遠隔の第三者によって、すべてのユーザの認証情報を窃取される - CVE-2020-14499

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性を修正した iView version 5.7 がリリースされています。

ベンダ情報

ベンダ リンク
Advantech Support & Download

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-14497
CVE-2020-14507
CVE-2020-14505
CVE-2020-14503
CVE-2020-14501
CVE-2020-14499
JVN iPedia