公開日:2014/02/19 最終更新日:2014/02/19
JVNVU#97009803
Belkin WeMo Home Automation 製品に複数の脆弱性
Belkin の提供する WeMo Home Automation 製品には、複数の脆弱性が存在します。
- WeMo Home Automation 製品
- WeMo のファームウェアを使用した製品
Belkin の提供する WeMo Home Automation 製品には、次のような複数の脆弱性が存在します。
- CWE-321: Use of Hard-coded Cryptographic Key - CVE-2013-6952
- CWE-494: Download of Code Without Integrity Check - CVE-2013-6951
- CWE-319: Cleartext Transmission of Sensitive Information - CVE-2013-6950
- CWE-441: Unintended Proxy or Intermediary ('Confused Deputy') - CVE-2013-6949
- CWE-611: Improper Restriction of XML External Entity Reference ('XXE') - CVE-2013-6948
遠隔の第三者によって、ファームウェアが改ざんされたり、情報が漏えいしたりする可能性があります。
2014年2月19日現在、対策方法は不明です。
| ベンダ | リンク |
| Belkin International,Inc | WeMo Home Automation |
-
CERT/CC Vulnerability Note VU#656302
Belkin Wemo Home Automation devices contain multiple vulnerabilities
2014.02.19における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| 攻撃の難易度 | 専門知識や運 (条件が揃う確率は中程度) が必要 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2013-6952 |
|
CVE-2013-6951 |
|
|
CVE-2013-6950 |
|
|
CVE-2013-6949 |
|
|
CVE-2013-6948 |
|
| JVN iPedia |
