公開日:2022/12/14 最終更新日:2022/12/14

JVNVU#95905213
Schneider Electric製APC Easy UPS Online Monitoring Softwareにおける複数の脆弱性

概要

Schneider Electric社が提供するAPC Easy UPS Online Monitoring Softwareには、複数の脆弱性が存在します。

影響を受けるシステム

  • APC Easy UPS Online Monitoring Software 2.5-GA およびそれ以前のバージョン(Windows 7、10、11 Windows Server 2016、2019、2022)
  • APC Easy UPS Online Monitoring Software 2.5-GA-01-22261 およびそれ以前のバージョン(Windows 11 Windows Server 2019、2022)

詳細情報

Schneider Electric社が提供するAPC Easy UPS Online Monitoring Softwareは、無停電電源装置(UPS)監視ソフトウェアです。APC Easy UPS Online Monitoring Softwareには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2022-42970
  • アップロードするファイルの検証が不十分 (CWE-434) - CVE-2022-42971
  • 重要なリソースに対する不適切なパーミッションの割り当て (CWE-732) - CVE-2022-42972
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-42973

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、管理者パスワードを変更される - CVE-2022-42970
  • 遠隔の第三者によって、細工されたJSPファイルをアップロードされることで、コード実行される - CVE-2022-42971
  • ローカルの低権限ユーザによって、webrootディレクトリを更新されることで、権限昇格される - CVE-2022-42972
  • ローカルの低権限ユーザによって、データベースへ接続されることで、権限昇格される - CVE-2022-42973

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Schneider Electric Security Notification APC Easy UPS Online Monitoring Software 13 December 2022(PDF)
APC Easy UPS Online Monitoring Software (Windows 7, 10, 11, Windows Server 2016, 2019, 2022) ソフトウェア - リリース | ダウンロード

参考情報

  1. ICS Advisory (ICSA-22-347-02)
    Schneider Electric APC Easy UPS Online

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia