公開日:2023/09/29 最終更新日:2023/09/29

JVNVU#97210928
DEXMA製DexGateにおける複数の脆弱性

概要

DEXMAが提供するDexGateには、複数の脆弱性が存在します。

影響を受けるシステム

  • DEXGate Version 20130114

詳細情報

DEXMAが提供するDexGateには、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング (CWE-79) - CVE-2023-40153
  • クロスサイトリクエストフォージェリ (CWE-352) - CVE-2023-42435
  • 不適切な認証 (CWE-287) - CVE-2023-4108
  • 重要な情報の平文送信 (CWE-319) - CVE-2023-41088
  • 情報漏えい (CWE-200) - CVE-2023-42666

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 低権限ユーザによって、当該Webアプリケーション上の「hostname」パラメータにXSSペイロードを挿入され、任意のJava Scriptを実行される - CVE-2023-40153
  • 低権限ユーザが、他のユーザの権限でアクションを実行する - CVE-2023-42435
  • 隣接ネットワーク上の第三者によって、細工されたリクエストを生成され、当該デバイスがセッションをアクティブにしている限り、正規のユーザーになりすまされる - CVE-2023-4108
  • 隣接ネットワーク上の第三者によって、機微な情報を窃取され、当該アプリケーションにアクセスされる - CVE-2023-41088
  • 遠隔の第三者によって、細工されたリクエストを生成され、当該Webサーバーのバージョン情報を窃取される - CVE-2023-42666

対策方法

開発者に問い合わせる
2023年9月29日現在、開発者によるアップデートなどの情報提供が確認できておりません。
詳細は、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
Spacewell Energy(Dexma) Contact Us

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia