公開日:2023/01/13 最終更新日:2023/01/13

JVNVU#92713302
Sewio製RTLS Studioにおける複数の脆弱性

概要

Sewio社が提供するRTLS Studioには、複数の脆弱性が存在します。

影響を受けるシステム

  • RTLS Studio バージョン2.0.0からバージョン2.6.2まで

詳細情報

Sewio社が提供するRTLS Studioは、建物内のエンティティ(人や物)の動きを追跡し、位置を特定する屋内トラッキング用システムのスムーズな設置、展開、保守、制御を実現するオールインワンソフトウェアソリューションです。RTLS Studioには、次の複数の脆弱性が存在します。

  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2022-45444
  • OSコマンドインジェクション (CWE-78) - CVE-2022-47911、CVE-2022-43483
  • 境界外書き込み (CWE-787) -CVE-2022-41989
  • クロスサイトリクエストフォージェリ (CWE-352) - CVE-2022-45127、CVE-2022-47395
  • 不適切な入力検証 (CWE-20) - CVE-2022-47917、CVE-2022-43455
  • クロスサイトスクリプティング (CWE-79) - CVE-2022-46733

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、データベースにログインされる - CVE-2022-45444
  • 遠隔の高権限ユーザによって、アプリケーションの機密機能にアクセスされ、任意のシステムコマンドを実行される - CVE-2022-47911、CVE-2022-43483
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態を引き起こされたり、任意のコードを実行されたりする - CVE-2022-41989
  • 遠隔の第三者によって、任意のバックアップ操作を実行され、サービス運用妨害(DoS)状態を引き起こされる - CVE-2022-45127
  • 遠隔の第三者によって、任意のメンテナンス操作を実行され、サービス運用妨害(DoS)状態を引き起こされる - CVE-2022-47395
  • 遠隔の高権限ユーザによって、任意のファイルを削除され、サービス運用妨害(DoS)状態を引き起こされる - CVE-2022-47917
  • 遠隔の第三者によって、任意のコマンドを実行される - CVE-2022-46733
  • 遠隔の高権限ユーザによって、サーバー上で実行されている任意のサービスを開始、停止、または再起動される - CVE-2022-43455

対策方法

CVE-2022-47911、CVE-2022-43483、CVE-2022-45127、CVE-2022-47395、CVE-2022- 47917、CVE-2022-46733、CVE-2022-43455
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートに加えて、ワークアラウンドの適用を推奨しています。

CVE-2022-45444、CVE-2022-41989
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Sewio Sewio Portal(要ログイン)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia