公開日:2023/03/03 最終更新日:2023/03/03

JVNVU#95366761
BaiCells製NovaおよびNeutrinoにおけるコマンドインジェクションの脆弱性

概要

BaiCells社が提供するNovaおよびNeutrinoには、コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

QRTB 2.12.8より前のファームウェアバージョンを搭載した以下の製品が、本脆弱性の影響を受けます。

  • Nova 436Q
  • Nova 430E
  • Nova 430I
  • Neutrino 430

詳細情報

BaiCells社が提供するNovaおよびNeutrinoには、次の脆弱性が存在します。

  • コマンドインジェクション (CWE-77) - CVE-2023-0776

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、root権限でコマンドを実行される

対策方法

アップデートする
開発者は、ファームウェアのアップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
BaiCells Technologies 2023-2-10 QRTB Remote Code Execution Vulnerability
Security Notice for Nova 436Q/430 & Neutrino 430!
Firmware

参考情報

  1. ICS Advisory | ICSA-23-061-02
    Baicells Nova

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia