JVNVU#91291521
Advantech製ADAMにおける複数の脆弱性

Advantechが提供するADAMシリーズには、複数の脆弱性が存在します。

CVE-2024-37187、CVE-2024-38308

• Advantech ADAM 5550 すべてのバージョン

• Advantech ADAM-5630 v2.5.2より前のバージョン

Advantechが提供するADAMシリーズには、次の複数の脆弱性が存在します。

• 容易に復元可能なパスワード（CWE-261）－CVE-2024-37187、CVE-2024-34542
• クロスサイトスクリプティング（CWE-79）－CVE-2024-38308
• 機微な情報を含むCookieの永続的な使用（CWE-539）－CVE-2024-39275
• クロスサイトリクエストフォージェリ（CWE-352）－CVE-2024-28948
• 重要な機能に対する認証の欠如（CWE-306）－CVE-2024-39364

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 正規ユーザの認証情報を窃取され、当該デバイスにアクセスされる（CVE-2024-37187、CVE-2024-34542）
• 当該Webページに悪意のあるコードを挿入される（CVE-2024-38308）
• 細工したリクエストによって、正規ユーザーと同権限で操作を実行される（CVE-2024-39275）
• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる（CVE-2024-28948）
• 細工されたHTTPリクエストを送信され、サービス運用妨害（DoS）状態にされる（CVE-2024-39364）

CVE-2024-37187、CVE-2024-38308
後継製品に移行する
開発者によると、当該製品は段階的に廃止されているとのことであり、ADAM-5630 v2.5.2以降への移行が推奨されています。

CVE-2024-39275、CVE-2024-28948、CVE-2024-34542、CVE-2024-39364
アップデートする
開発者は、本脆弱性を修正したバージョンv2.5.2を提供しています。

詳細は、開発者が提供する情報を確認してください。