公開日:2022/05/09 最終更新日:2022/05/09
JVN#58266015
複数の明京電機製品における複数の脆弱性
明京電機株式会社が提供する複数の製品には、複数の脆弱性が存在します。
- リブーター
- WATCH BOOT nino RPC-M2C [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT light RPC-M5C [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT L-zero RPC-M4L [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT mini RPC-M4H [販売終了製品] すべてのファームウェアバージョン
- WATCH BOOT nino RPC-M2CS ファームウェアバージョン 1.00A から 1.00D まで
- WATCH BOOT light RPC-M5CS ファームウェアバージョン 1.00A から 1.00D まで
- WATCH BOOT L-zero RPC-M4LS ファームウェアバージョン 1.00A から 1.20A まで
- サイネージリブーター RPC-M4HSi ファームウェアバージョン 1.00A
- PoE リブーター
- PoE BOOT nino PoE8M2 ファームウェアバージョン 1.00A から 1.20A まで
- スケジューラー
- TIME BOOT mini RSC-MT4H [販売終了製品] すべてのファームウェアバージョン
- TIME BOOT RSC-MT8F [販売終了製品] すべてのファームウェアバージョン
- TIME BOOT RSC-MT8FP [販売終了製品] すべてのファームウェアバージョン
- TIME BOOT mini RSC-MT4HS ファームウェアバージョン 1.00A から 1.10A まで
- TIME BOOT RSC-MT8FS ファームウェアバージョン 1.00A から 1.00E まで
- 接点コンバーター
- POSE SE10-8A7B1 ファームウェアバージョン 1.00A から 1.20A まで
明京電機株式会社が提供する複数の製品には、次の複数の脆弱性が存在します。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品の WEB インターフェースにログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2022-27632
- 当該製品の WEB インターフェースにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2022-28717
CVE-2022-27632
ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。
- WEB インターフェースへのログイン中、同一ウェブブラウザ上で WEB インターフェース以外のページを閲覧しない
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
各製品の対応状況については、開発者が提供する情報をご確認ください。
旧製品の使用を停止する、後継製品に移行する
開発者によると、以下の製品はサポートを終了しており修正アップデートは提供されないとのことです。
後継製品への移行が推奨されています。
- リブーター
- WATCH BOOT nino RPC-M2C
- WATCH BOOT light RPC-M5C
- WATCH BOOT L-zero RPC-M4L
- WATCH BOOT mini RPC-M4H
- スケジューラー
- TIME BOOT mini RSC-MT4H
- TIME BOOT RSC-MT8F
- TIME BOOT RSC-MT8FP
| ベンダ | リンク |
| 明京電機株式会社 | リブーター,スケジューラー,接点コンバーターの WEB GUIにおける脆弱性について |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 横浜国立大学 佐々木貴之 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2022-27632 |
|
CVE-2022-28717 |
|
| JVN iPedia |
JVNDB-2022-000028 |
