JVNVU#90455903
Snap One製OvrC Proにおける複数の脆弱性

Snap One社が提供するOvrC Proには、複数の脆弱性が存在します。

• OvrC Pro 7.3より前のすべてのバージョン

Snap One社が提供するOvrC Proには、次の複数の脆弱性が存在します。

• 不適切な入力確認 (CWE-20) - CVE-2023-28649
• リクエストに対するレスポンス内容の違いに起因する情報漏えい (CWE-204) - CVE-2023-28412
• 不適切なアクセス制御 (CWE-284) - CVE-2023-31241
• 重要な情報の平文送信 (CWE-319) - CVE-2023-31193
• データの信頼性確認が不十分 (CWE-345) - CVE-2023-28386
• オープンリダイレクト (CWE-601) - CVE-2023-31245
• ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-31240
• 非公開の機能 (CWE-912) - CVE-2023-25183
• スプーフィングによる認証回避 (CWE-290) - CVE-2024-50380
• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2024-50381

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

• ハブになりすまして、リクエストを送信される - CVE-2023-28649
• デバイスのMACアドレス一覧情報を窃取される - CVE-2023-28412
• 認証を回避され、デバイスにアクセスされる - CVE-2023-31241
• HTTP接続で行われるサーバからのプログラムダウンロード機能を悪用される - CVE-2023-31193
• ファームウェアアップデート時の署名検証不備を悪用され、細工されたファームウェアでアップデートを実行される（Snap One OvrC Pro 7.2およびそれ以前のバージョン）- CVE-2023-28386
• 正規ユーザが、任意の危険なURLにリダイレクトされる - CVE-2023-31245
• ハードコードされた認証情報を利用され、当該製品独自のWebサーバにアクセスされる（Snap One OvrC Pro 7.2より前のバージョン）- CVE-2023-31240
• スーパーユーザアカウントでログインすることで、ハブデバイス上で任意のコマンドを実行される（Snap One OvrC Pro 7.2より前のバージョン）- CVE-2023-25183
• 他のデバイスになりすまし、そのデバイスに関する機微な情報を取得される - CVE-2024-50380
• ハブデバイスになりすまし、攻撃対象デバイスに対して接続要求や接続解除要求を送信される - CVE-2024-50381

アップデートする
開発者は、アップデートを提供しています。
OvrC Pro v7.2およびOvrC Pro v7.3はOvrCクラウド経由でデバイスに自動的に送られるとのことです。
詳細は、開発者が提供する情報をご確認ください。