公開日:2020/10/14 最終更新日:2020/10/27
JVNVU#92374129
Moxa 製 NPort IAW5000A-I/O シリーズに複数の脆弱性
Moxa 製 NPort IAW5000A-I/O シリーズには複数の脆弱性が存在します。
NPort Firmware Version 2.1 およびそれ以前
NPort IAW5000A-I/O シリーズは Moxa が提供する産業用機器です。NPort IAW5000A-I/O シリーズには、次の複数の脆弱性が存在します。
- セッションの固定化 (CWE-384) - CVE-2020-25198
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 8.8 - 不適切な権限管理 (CWE-269) - CVE-2020-25194
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 - 脆弱なパスワードの要求 (CWE-521) - CVE-2020-25153
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 重要な情報の平文での送信 (CWE-319) - CVE-2020-25190
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5 - 認証試行回数の制限不備 (CWE-307) - CVE-2020-25196
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 情報漏えい (CWE-200) - CVE-2020-25192
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、ユーザの Cookie を窃取され、セッションを乗っ取られる - CVE-2020-25198
- 当該製品の Web サーバにアクセスした一般ユーザによって、管理者権限が必要な機能を実行される - CVE-2020-25194
- パスワード強度が不十分なユーザの認証情報が容易に推測される - CVE-2020-25153
- 遠隔の第三者によって、Web サーバに保存された外部サービスの認証情報を窃取される - CVE-2020-25190
- 総当たり攻撃により SSH または Telnet を介してシステムにログインされる - CVE-2020-25196
- 遠隔の第三者によって、Web サーバの機微な情報を窃取される - CVE-2020-25192
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2020/10/27 |
| ベンダ | リンク |
| Moxa Inc. | NPort IAW5000A-I/O Series Serial Device Servers Vulnerabilities |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes | |
| CVE |
CVE-2020-25153 |
|
CVE-2020-25190 |
|
|
CVE-2020-25192 |
|
|
CVE-2020-25194 |
|
|
CVE-2020-25196 |
|
|
CVE-2020-25198 |
|
| JVN iPedia |
|
- 2020/10/27
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
