公開日:2022/05/13 最終更新日:2022/05/13

JVNVU#96318965
Cambium Networks製cnMaestroにおける複数の脆弱性

概要

Cambium Networks社が提供するcnMaestroには、複数の脆弱性が存在します。

影響を受けるシステム

  • cnMaestro On-Premises 3.0.3-r32より前のすべてのバージョン
  • cnMaestro On-Premises 2.4.2-r29より前のすべてのバージョン
  • cnMaestro On-Premises 3.0.0-r34より前のすべてのバージョン

詳細情報

Cambium Networks社が提供するcnMaestroは、ネットワーク・ライフサイクル管理プラットフォームです。当該製品のオンプレミス版であるcnMaestro On-Premisesには、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション (CWE-78) - CVE-2022-1357
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • SQLインジェクション (CWE-89) - CVE-2022-1358
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N 基本値: 5.9
  • SQLインジェクション (CWE-89) - CVE-2022-1361
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 7.4
  • OSコマンドインジェクション (CWE-78) - CVE-2022-1360
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:L 基本値: 8.2
  • OSコマンドインジェクション (CWE-78) - CVE-2022-1362
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値: 5.0
  • パストラバーサル (CWE-22) - CVE-2022-1359
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値: 5.7
  • 潜在的に危険な機能の使用 (CWE-676) - CVE-2022-1356
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H 基本値: 7.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、Webサーバの特権で任意のコードを実行される - CVE-2022-1357
  • 当該製品の管理者権限を持つユーザによって、当該製品のデータベースに保存されたすべての情報を窃取される - CVE-2022-1358
  • 遠隔の第三者によって、当該製品のユーザアカウント情報やデバイスに関する情報を窃取される - CVE-2022-1361
  • 当該製品の管理者権限を持つユーザによって、サーバ構成設定を変更される - CVE-2022-1360
  • ユーザによって、当該製品が動作するサーバ上で任意のコマンドを実行される - CVE-2022-1362
  • ユーザによって、サーバー内の任意のファイルに任意のデータを書き込まれる -CVE-2022-1359
  • 本来root権限を持たないユーザがsudoを使用してスクリプトを実行することによって、root権限を取得される -CVE-2022-1356

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は、次のバージョンで修正されています。

  • cnMaestro On-Premises 3.0.3-r32
  • cnMaestro On-Premises 2.4.2-r29
  • cnMaestro On-Premises 3.0.0-r34

ベンダ情報

ベンダ リンク
Cambium Networks Cambium Networks support(要ログイン)

参考情報

  1. ICS Advisory (ICSA-22-132-04)
    Cambium Networks cnMaestro

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia