JVNVU#97789889
ETIC Telecom製Remote Access Server (RAS)における複数の脆弱性

ETIC Telecomが提供するRemote Access Server (RAS)には、複数の脆弱性が存在します。

CVE-2022-3703, CVE-2022-41607, CVE-2022-40981

• ETIC Telecom RAS ファームウェア V4.5.0 およびそれ以前のバージョン

• ETIC Telecom RAS ファームウェア V4.5.0 より前のバージョン

• ETIC Telecom RAS ファームウェア V4.11.0 より前のバージョン

ETIC Telecomが提供するRemote Access Server (RAS)には、次の複数の脆弱性が存在します。

• データの信頼性確認が不十分 (CWE-345) - CVE-2022-3703
• ディレクトリトラバーサル (CWE-22) - CVE-2022-41607
• アップロードするファイルの検証が不十分 (CWE-434) - CVE-2022-40981
• クロスサイトスクリプティング (CWE-79) - CVE-2024-26156, CVE-2024-26157, CVE-2024-26154
• 重要情報の平文送信 (CWE-319) - CVE-2024-26155
• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2024-26153

脆弱性を悪用された場合、隣接ネットワーク上の高権限ユーザによって、次のような影響を受ける可能性があります。

• 細工されたファームウェアを提供され、権限昇格される - CVE-2022-3703
• SSH秘密鍵やパスワードなどを含む機微なファイルを窃取される - CVE-2022-41607
• 細工されたファイルをアップロードされ、既存ファイルを上書きされたり、ハードディスクを容量不足にされたりなどする - CVE-2022-40981
• クライアント側からの入力をクライアントへのレスポンスに反映される - CVE-2024-26156, CVE-2024-26157
• アプリサイト名に保存された入力が管理者向けのページで表示される - CVE-2024-26154
• 認証情報が窃取される - CVE-2024-26155
• サービス運用妨害（DoS）状態にされる - CVE-2024-26153

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報およびをICS Advisoryご確認ください。