公開日:2023/09/27 最終更新日:2023/10/13

JVNVU#95820298
Suprema製BioStar 2におけるSQLインジェクションの脆弱性

概要

Supremaが提供するBioStar 2には、SQLインジェクションの脆弱性が存在します。

影響を受けるシステム

  • BioStar 2 V2.2.1からV2.9.3まで

詳細情報

Supremaが提供するBioStar 2には、次の脆弱性が存在します。

  • SQLインジェクション (CWE-89) - CVE-2023-27167
本脆弱性について、概念実証コード(PoC)がインターネットに公開されています。

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の低権限ユーザによって、任意のコマンドを実行される

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正したV2.9.4をリリースしています。

ベンダ情報

ベンダ リンク
Suprema BioStar 2 Package

参考情報

  1. ICS Advisory | ICSA-23-269-01
    Suprema BioStar 2

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/10/13
[影響を受けるシステム]、[対策方法]を更新しました