JVNVU#96655623
Hitachi ABB Power Grids 製 eSOMS に複数の脆弱性

Hitachi ABB Power Grids 社が提供する eSOMS には複数の脆弱性が存在します。

CVE-2021-26845

• eSOMS Version 6.0.4.2.2 より前のバージョンの 6.0 系
• eSOMS Version 6.1.4 より前のバージョンの 6.1 系
• eSOMS versions 6.3 より前のバージョンの 6.3 系

• Telerik ソフトウェアを使用している eSOMS Version 6.3 より前のバージョン

• 情報漏えい (CWE-200) - CVE-2021-26845

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• パストラバーサル (CWE-22) - CVE-2019-19790

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 信頼できないデータのデシリアライズ (CWE-502) - CVE-2019-18935

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 不適切な入力検証 (CWE-20) - CVE-2017-11357

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 不十分な暗号強度 (CWE-326) - CVE-2017-11317

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 認証情報の不十分な保護 (CWE-522) - CVE-2017-9248

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• パストラバーサル (CWE-22) - CVE-2014-2217

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

  基本値: 7.5

• パストラバーサル (CWE-22) - CVE-2014-4958

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

  基本値: 4.3

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

• 本来アクセス権限を持たない第三者にレポートへのアクセスで使用されるURLが知られた場合、レポートデータにアクセスされる - CVE-2021-26845
• 遠隔の第三者により細工されたリクエストを送信され、.BMP、.EXIF、.GIF、.ICON、.JPEG、.PNG、.TIFF、.WMF 拡張子を持つ画像ファイルを読み取られる、または削除される - CVE-2019-19790
• 当該製品の暗号化鍵を入手している遠隔の第三者により、任意のコードを実行される - CVE-2019-18935
• 遠隔の第三者によって、任意のファイルをアップロードされたり任意のコードを実行されたりする - CVE-2017-11357、CVE-2017-11317
• 遠隔の第三者によって、MachineKey を取得されたり、任意のファイルのアップロードやダウンロードが行われたり、クロスサイトスクリプティング攻撃が行われたり、ASP.NET ViewState の内容を改ざんされたりする - CVE-2017-9248
• 遠隔の第三者によって、任意のファイルへの書き込みが行われたり、任意のコードを実行されたりする - CVE-2014-2217
• 遠隔の第三者によって、任意のスクリプトまたは HTML を挿入される - CVE-2014-4958

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

CVE-2021-26845

• eSOMS version 6.0.4.2.2
• eSOMS version 6.1.4
• eSOMS version 6.3

• eSOMS version 6.3