JVNVU#93821202
Carrier製HID Mercuryコントローラパネルにおける複数の脆弱性

Carrier社が提供するHID Mercuryコントローラパネルには、複数の脆弱性が存在します。

• LNL-X2210
• LNL-X2220
• LNL-X3300
• LNL-X4420
• LNL-4420
• S2-LP-1501
• S2-LP-1502
• S2-LP-2500
• S2-LP-4502

Carrier社が提供するHID Mercuryコントローラパネルには、次の複数の脆弱性が存在します。

• 保護メカニズムの不具合 (CWE-693) - CVE-2022-31479
• 強制ブラウジング (CWE-425) - CVE-2022-31480、CVE-2022-31484、CVE-2022-31485
• バッファオーバーフロー (CWE-120) - CVE-2022-31481、CVE-2022-31482
• パストラバーサル (CWE-22) - CVE-2022-31483
• OSコマンドインジェクション (CWE-78) - CVE-2022-31486

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、ホスト名を変更され、core collectionプロセス中にシェルコマンドを実行される - CVE-2022-31479
• 遠隔の第三者によって、ファームウェアファイルをアップロードされ、サービス拒否状態にされる - CVE-2022-31480
• 遠隔の第三者によって、細工したファイルやHTTPリクエストを送信され、バッファオーバーフローを引き起こされる - CVE-2022-31481、CVE-2022-31482
• 高権限ユーザによって、ファイルシステム上の任意の場所に目的のファイルをアップロードされる - CVE-2022-31483
• 遠隔の第三者によって、細工したパケットを送信され、Webインターフェースのユーザ情報を削除される - CVE-2022-31484
• 遠隔の第三者によって、細工したパケットを送信され、Webインターフェースのホームページにある「notes」セクションを変更される - CVE-2022-31485
• ユーザによって、細工したルートをバイナリに送信され、シェルコマンドを実行される - CVE-2022-31486

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用方法を提供しています。

詳細は、開発者が提供する情報をご確認ください。