JVNVU#99583039
General Electric Renewable Energy製MDS Radiosにおける複数の脆弱性

General Electric Renewable Energyが提供するMDS Radiosには、複数の脆弱性が存在します。

• iNET/iNET IIシリーズradio ファームウェア rev. 8.3.0より前
• SDシリーズradio ファームウェア rev. 6.4.7より前
• TD220Xシリーズradio ファームウェア rev. 2.0.16より前
• TD220MAXシリーズradio ファームウェア  rev. 1.2.6より前

General Electric Renewable Energyが提供するMDS Radiosには、次の複数の脆弱性が存在します。

• 不適切な入力確認 (CWE-20) - CVE-2017-17562

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 10.0

• 隠れた機能 (CWE-912) - CVE-2022-24119

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 10.0

• 不十分な暗号強度 (CWE-326) - CVE-2022-24116

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.0

• リソースの枯渇 (CWE-400) - CVE-2022-24118

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H

  基本値: 6.8

• 認証情報の平文保存 (CWE-256) - CVE-2022-24120

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 6.8

• ダウンロードしたコードの完全性検証不備 (CWE-494) - CVE-2022-24117

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

  基本値: 8.4

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、iNET/iNET II、TD220XおよびTD220MAXシリーズradioのWebサーバー上で任意のコードを実行される - CVE-2017-17562
• 遠隔の第三者によって、iNET/iNET IIシリーズradioのデバイス設定シェルにアクセスされる - CVE-2022-24119
• 第三者によって、iNET/iNET IIシリーズradioのワイヤレスセキュリティソフトウェアとチップセット実装の弱点を特定される - CVE-2022-24116
• 第三者によって、iNET/iNET II、SD、TD220XおよびTD220MAXシリーズradioを工場出荷時のデフォルト構成にリセットして再起動される - CVE-2022-24118
• 第三者によって、iNET/iNET IIシリーズradioの認証情報を窃取される - CVE-2022-24120
• 管理者権限を持つユーザーによって、リモートから不正なファームウェアに更新される - CVE-2022-24117

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のファームウェアバージョンをリリースしています。

• iNET/iNET IIシリーズradio ファームウェア rev.8.3.0
• SDシリーズradio ファームウェア rev. 6.4.7
• TD220Xシリーズradio ファームウェア rev. 2.0.16
• TD220MAXシリーズradio ファームウェア rev. 1.2.6