JVNVU#91136750
IPCOMM製ipDIOにおける複数の脆弱性

IPCOMM社が提供するipDIOには、複数の脆弱性が存在します。

• ipDIO ファームウェアバージョン 3.9 2016/04/18 / IPDIO SW 3.9

IPCOMM社が提供するipDIOには、次の複数の脆弱性が存在します。

• クロスサイトスクリプティング（CWE-79） - CVE-2022-24432

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

  基本値: 5.5

• クロスサイトスクリプティング（CWE-79） - CVE-2022-21146

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

  基本値: 6.3

• コードインジェクション（CWE-94） - CVE-2022-24915

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.0

• コードインジェクション（CWE-94） - CVE-2022-22985

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔のユーザによって任意のコードを挿入される - CVE-2022-24432、CVE-2022-24915
• 遠隔の第三者に認証不要で、任意のコードを挿入される - CVE-2022-21146、CVE-2022-22985

製品の使用を停止する
ipDIOは、販売、保守が終了している製品のため、IPCOMM社は後継機であるip4Cloudへの移行を推奨しています。