JVNVU#98845656
MesaLabs 製 AmegaView における複数の脆弱性

MesaLabs 社が提供する AmegaView には、複数の脆弱性が存在します。

• AmegaView Versions 3.0 およびそれ以前

MesaLabs 社が提供する AmegaView には、次の複数の脆弱性が存在します。

• コマンドインジェクション (CWE-77) - CVE-2021-27447

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 10.0

• 不適切な認証 (CWE-287) - CVE-2021-27451

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

  基本値: 7.3

• 認証回避 (CWE-288) - CVE-2021-27453

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

  基本値: 7.3

• コマンドインジェクション (CWE-77) - CVE-2021-27449

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

  基本値: 9.9

• 不適切なファイル権限管理 (CWE-269) - CVE-2021-27445

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、任意のコードを実行される - CVE-2021-27447
• 遠隔の第三者によって、当該機器で生成された認証用パスコードを容易に推測される - CVE-2021-27451
• 遠隔の第三者によって認証を回避され、当該機器へ不正アクセスされる - CVE-2021-27453
• 当該機器のユーザによって、Web サーバ上で任意のコードを実行される - CVE-2021-27449
• 当該機器のユーザによって、権限を昇格される - CVE-2021-27445

代替製品に移行する
開発者によると、当該製品は2021年末にサポートが終了するため、本脆弱性に対応するアップデートは提供されないとのことです。
そのため、ユーザに対して当該機器と互換性のある ViewPoint software への移行を推奨しています。