ioLogik 4000シリーズ(ioLogik E4200)のファームウェアバージョン1.6以前は、Webサーバーに関する複数の脆弱性と不適切なアクセス制御の脆弱性の影響を受けます。
Webサーバーの脆弱性
Webサーバーの脆弱性は、HTTPヘッダーの不適切な設定または実装によって起こります。攻撃者は、この脆弱性を悪用してWebサービスを侵害する可能性があります。
不適切なアクセス制御の脆弱性
不適切なアクセス制御の脆弱性は、既存の未承認サービスの不適切な制御によって発生します。攻撃者は、この未承認サービスに接続することで、この脆弱性を悪用する可能性があります。この脆弱性の悪用は、不正アクセスにつながる可能性があります。
確認された脆弱性の種類と潜在的な影響は以下の通りです。
項目 |
脆弱性の種類 |
影響 |
1 |
既存の未認証サービス
(CWE-284 不適切なアクセス制御)
CVE-2023-4227
|
攻撃者が不正アクセスを行う可能性があります |
2 |
セッションCookie属性が正しく設定されない
(CWE-1004:'HttpOnly'フラグのない機密性の高いCookie)
CVE-2023-4228
|
攻撃者がWebサービスを侵害する可能性があります |
3 |
セッションヘッダーが実装されない
(CWE-1021:レンダリングされたUIレイヤーまたはフレームの不適切な制限)
CVE-2023-4229
|
攻撃者がWebサービスを侵害する可能性があります |
4 |
サーバーバナー情報の開示
(CWE-200:権限のない行為者に機密情報が漏えい)
CVE-2023-4230
|
攻撃者がWebサービスを侵害する可能性があります |