JVNVU#92528056
MB Connect line 製 mbCONNECT24 および mymbCONNECT24 に複数の脆弱性

MB Connect line が提供する mbCONNECT24 および mymbCONNECT24 には複数の脆弱性が存在します。

• mbCONNECT24 v2.6.1 およびそれ以前
• mymbCONNECT24 v2.6.1 およびそれ以前

MB Connect line が提供する mbCONNECT24 および mymbCONNECT24 は、リモートメンテナンス用ソフトウェアです。
当該製品には、次の複数の脆弱性が存在します。

• LAN コンポーネントにおけるブラインド SQL インジェクション (CWE-89) - CVE-2020-24568

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

  基本値: 7.1

• knximport コンポーネントにおけるブラインド SQL インジェクション (CWE-89) - CVE-2020-24569

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

  基本値: 7.1

• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2020-24570

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.8

• コマンドインジェクション (CWE-77)

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 該当製品にログイン可能なユーザーによって、任意の情報を窃取される - CVE-2020-24568、CVE-2020-24569
• 当該製品にログインした状態のユーザーが細工されたリンクにアクセスすることで、遠隔の第三者にセッション情報を窃取される - CVE-2020-24570
• 遠隔の第三者によって、当該製品にバンドルされている古くて使用されていないサードパーティ製ソフトウェアを利用され、エクスプロイトチェーンを介して任意のコードを実行される

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。