公開日:2022/05/13 最終更新日:2022/05/13
JVNVU#96318965
Cambium Networks製cnMaestroにおける複数の脆弱性
Cambium Networks社が提供するcnMaestroには、複数の脆弱性が存在します。
- cnMaestro On-Premises 3.0.3-r32より前のすべてのバージョン
- cnMaestro On-Premises 2.4.2-r29より前のすべてのバージョン
- cnMaestro On-Premises 3.0.0-r34より前のすべてのバージョン
Cambium Networks社が提供するcnMaestroは、ネットワーク・ライフサイクル管理プラットフォームです。当該製品のオンプレミス版であるcnMaestro On-Premisesには、次の複数の脆弱性が存在します。
- OSコマンドインジェクション (CWE-78) - CVE-2022-1357
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - SQLインジェクション (CWE-89) - CVE-2022-1358
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N 基本値: 5.9 - SQLインジェクション (CWE-89) - CVE-2022-1361
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 7.4 - OSコマンドインジェクション (CWE-78) - CVE-2022-1360
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:L 基本値: 8.2 - OSコマンドインジェクション (CWE-78) - CVE-2022-1362
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値: 5.0 - パストラバーサル (CWE-22) - CVE-2022-1359
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値: 5.7 - 潜在的に危険な機能の使用 (CWE-676) - CVE-2022-1356
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H 基本値: 7.1
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、Webサーバの特権で任意のコードを実行される - CVE-2022-1357
- 当該製品の管理者権限を持つユーザによって、当該製品のデータベースに保存されたすべての情報を窃取される - CVE-2022-1358
- 遠隔の第三者によって、当該製品のユーザアカウント情報やデバイスに関する情報を窃取される - CVE-2022-1361
- 当該製品の管理者権限を持つユーザによって、サーバ構成設定を変更される - CVE-2022-1360
- ユーザによって、当該製品が動作するサーバ上で任意のコマンドを実行される - CVE-2022-1362
- ユーザによって、サーバー内の任意のファイルに任意のデータを書き込まれる -CVE-2022-1359
- 本来root権限を持たないユーザがsudoを使用してスクリプトを実行することによって、root権限を取得される -CVE-2022-1356
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は、次のバージョンで修正されています。
- cnMaestro On-Premises 3.0.3-r32
- cnMaestro On-Premises 2.4.2-r29
- cnMaestro On-Premises 3.0.0-r34
ベンダ | リンク |
Cambium Networks | Cambium Networks support(要ログイン) |
-
ICS Advisory (ICSA-22-132-04)
Cambium Networks cnMaestro