JVNVU#97817785
Geutebrück製G-Cam E2およびG-Codeに複数の脆弱性

Geutebrück社が提供するG-Cam E2およびG-Codeには、複数の脆弱性が存在します。

• ファームウェアバージョン1.12.0.27およびそれ以前
• ファームウェアバージョン1.12.13.2および1.12.14.5

• G-CAM
  • EBC-21xx
  • EFD-22xx
  • ETHC-22xx
  • EWPC-22xx
• G-Code
  • EEC-2xx
  • EEN-20xx

Geutebrück社が提供するG-Cam E2およびG-Codeには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33543

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• コマンドインジェクション (CWE-77) - CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2021-33545、CVE-2021-33546、CVE-2021-33547、CVE-2021-33549

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• デフォルトのユーザー認証設定不備により、遠隔の第三者によって機密情報を窃取される - CVE-2021-33543
• 遠隔の第三者によって、コマンドインジェクションによる任意のコードを実行される - CVE-2021-33544、CVE-2021-33548、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
• 遠隔の第三者によって、counterパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33545
• 遠隔の第三者によって、nameパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33546
• 遠隔の第三者によって、profileパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33547
• 遠隔の第三者によって、actionパラメータのバッファオーバーフローが引き起こされ、任意のコードが実行される - CVE-2021-33549

アップデートする
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
開発者は本脆弱性を修正した次のバージョンをリリースしています。

• ファームウェアバージョン1.12.14.7

• カメラのデフォルトパスワードを変更する
• インターネットからの制御システムのデバイスおよびネットワークへのアクセスを制限する
• 制御ネットワークとリモートデバイスのネットワークを分離する
• リモートアクセスが必要な場合は仮想プライベートネットワーク（VPN）等を利用する