公開日:2020/07/15 最終更新日:2020/07/15
JVNVU#95694616
Advantech 製 iView に複数の脆弱性
Advantech が提供する iView には、複数の脆弱性があります。
- iView version 5.6 およびそれ以前
iView は Advantech 社が提供する SNMP ベースの機器管理ソフトウェアです。iView には次の複数の脆弱性が存在します。
- SQLインジェクション (CWE-89) - CVE-2019-14497
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - パストラバーサル (CWE-22) - CVE-2019-14507
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - コマンドインジェクション (CWE-77) - CVE-2019-14505
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H 基本値: 8.2 - 不適切な入力検証 (CWE-20) - CVE-2019-14503
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 重要な機能に対する認証欠如 (CWE-306) - CVE-2019-14501
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L 基本値: 8.2 - 不適切なアクセス制御 (CWE-284) - CVE-2019-14499
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。
- SQL クエリ生成時に、遠隔の第三者により不正な文字列が挿入され、ユーザの認証情報が窃取されたり、機微な情報の読み出し・改ざんが行われたり、任意のコードが実行されたりする - CVE-2020-14497
- 複数箇所におけるパストラバーサルにより、遠隔の第三者によって、任意のファイルを生成またはダウンロードされたり、システムの可用性を制限されたり、任意のコードを実行されたりする - CVE-2020-14507
- 遠隔の第三者によってコマンド文字列を含む HTTP GET もしくは POST リクエストを送信されることで、任意のコードを実行される - CVE-2020-14505
- 遠隔の第三者によって任意のコードを実行される - CVE-2020-14503
- 遠隔の第三者によって、平文で記録された管理者の認証情報を含むユーザ情報を窃取されたり、管理者アカウントを削除されたりする - CVE-2020-14501
- 遠隔の第三者によって、すべてのユーザの認証情報を窃取される - CVE-2020-14499
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性を修正した iView version 5.7 がリリースされています。
| ベンダ | リンク |
| Advantech | Support & Download |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-14497 |
|
CVE-2020-14507 |
|
|
CVE-2020-14505 |
|
|
CVE-2020-14503 |
|
|
CVE-2020-14501 |
|
|
CVE-2020-14499 |
|
| JVN iPedia |
|
