公開日:2021/06/11 最終更新日:2021/06/11

JVNVU#99848546
ZOLL 製 Defibrillator Dashboard における複数の脆弱性

概要

ZOLL 社が提供する Defibrillator Dashboard には、複数の脆弱性が存在します。

影響を受けるシステム

  • Defibrillator Dashboard 2.2 より前のすべてのバージョン

詳細情報

ZOLL 社が提供する Defibrillator Dashboard は 除細動器の準備状況やメンテナンス状況を把握するためのソフトウェアです。
当該製品には、次の複数の脆弱性が存在します。

  • 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-27489
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値: 9.9
  • ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2021-27481
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 基本値: 7.1
  • 重要な情報の平文保存 (CWE-312) - CVE-2021-27487
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 基本値: 7.1
  • クロスサイトスクリプティング (CWE-79) - CVE-2021-27479
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N 基本値: 4.6
  • 復元可能な形式でのパスワード保存 (CWE-257) - CVE-2021-27485
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 基本値: 7.1
  • 不適切な権限管理 (CWE-269) - CVE-2021-27483
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L 基本値: 5.3

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、細工されたファイルをアップロードされ、任意のコードを実行される - CVE-2021-27489
  • 第三者によって、ハードコーティングされた暗号化キーを用いて、機微な情報が窃取される - CVE-2021-27481
  • 第三者によって、平文で保存された認証情報を用いて、機微な情報が窃取される - CVE-2021-27487
  • 第三者によって、ユーザー権限で細工されたスクリプトをアプリケーションに挿入され、管理者のWebブラウザー上で任意のスクリプトが実行される - CVE-2021-27479
  • 第三者によって、復元可能な形式で保存された認証情報が、Webブラウザー経由で窃取される - CVE-2021-27485
  • 第三者によって、ファイルシステムのパーミッションの不備により、管理者権限への権限昇格が行われる - CVE-2021-27483

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は Defibrillator Dashboard 2.2 以降のバージョンにアップデートすることを推奨しています。

ベンダ情報

ベンダ リンク
ZOLL Defibrillator Dashboard

参考情報

  1. ICS Medical Advisory (ICSMA-21-161-01)
    ZOLL Defibrillator Dashboard

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia