公開日:2023/06/21 最終更新日:2023/07/14

JVNVU#97747279
Enphase Energy製品における複数の脆弱性

概要

Enphase Energyが提供するEnphase IQ GatewayおよびEnphase Installer Appにおいて、脆弱性が報告されています。

影響を受けるシステム

CVE-2023-33869

  • Enphase IQ Gateway 7.0.88
CVE-2023-32274
  • Enphase Installer App 3.27.0

詳細情報

Enphase Energyが提供する下記の製品には、次の脆弱性が存在します。

Enphase IQ Gateway

  • OSコマンドインジェクション (CWE-78) - CVE-2023-33869

Enphase Installer App
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-32274

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品にログイン可能なユーザによって、root権限でコマンドを実行される - CVE-2023-33869
  • 当該製品にアクセス可能な第三者によって、Enphase systemsの情報を改ざんされたり、機微な情報を窃取されたりする - CVE-2023-32274

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は開発者に問い合わせてください。

ベンダ情報

ベンダ リンク
Enphase Energy ENSA-2023-1: Hard-coded credentials in Enphase Installer App (ITK) 3.27.0
ENSA-2023-2: OS Command Injection in Enphase IQ Gateway (Envoy) 7.0.88
Contact Us

参考情報

  1. ICS Advisory | ICSA-23-171-01
    Enphase Envoy
  2. ICS Advisory | ICSA-23-171-02
    Enphase Installer Toolkit Android App

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/07/14
開発者によるアドバイザリ公開に伴い、[概要]、[影響を受けるシステム]、[詳細情報]、[想定される影響]、[対策方法]、[ベンダ情報]を更新しました。