MDS-G4028-L3シリーズおよびEDS-G512Eシリーズは、潜在的なセキュリティリスクをもたらす脆弱性の影響を受けます。MDS-G4028-L3シリーズは、不正アクセスを許す可能性のあるCVE-2023-48795や、古いバージョンのNginx(CVE-2021-23017、CVE-2021-3618、CVE-2019-20372)に対して脆弱であり、パッチ未適用の脅威にさらされます。EDS-G512Eシリーズは弱いSSL/TLS鍵交換の影響を受け、これにより暗号化された通信が危険にさらされ、データの傍受を許す可能性があります。
発見された脆弱性の種類と潜在的な影響
項目 |
脆弱性の種類 |
影響 |
1 |
CWE-354:整合性検証不備の脆弱性(CVE-2023-48795)
|
整合性チェックでは通常、データの出所の正当性を確認するために秘密鍵が使用されます。一般的に、整合性チェックを省略すると不適正なソースからの新しいデータが注入される可能性が生じます。 |
2 |
CWE-193:Off-by-oneエラー(CVE-2021-23017) |
この弱点は一般的に、未定義の動作につながり、その結果としてクラッシュを引き起こします。ループインデックス変数に関係するオーバーフローにより、無限ループが発生する可能性も高まります。 |
3 |
CWE-295:不正な証明書検証(CVE-2021-3618) |
保護メカニズムのバイパスや、権限の取得、IDのなりすましが起こります。 |
4 |
CWE-444:HTTPリクエストの一貫性のない解釈(「HTTPリクエスト/レスポンススマグリング」)(CVE-2019-20372) |
攻撃者は、1)あるURLを別のURLのWebページに関連付けさせるようなメッセージにより、WebサーバーがそのWebページのコンテンツをキャッシュするように仕向けることができる(Webキャッシュポイズニング攻撃)、2)ファイアウォール保護メカニズムを回避しWebアプリケーションへの不正なアクセス権を取得するようなメッセージを構成できる、3)メッセージを通じ、クライアント資格情報を返すスクリプトやページを呼び出すことができる(クロスサイトスクリプティング攻撃に類似)といった、いくつかの弱点を悪用するHTTPメッセージを作成できる可能性があります。 |
5 |
CWE-326:不十分な暗号強度 |
攻撃者がブルートフォース攻撃を使用してデータを復号する可能性があります。 |
脆弱性評価の詳細
ID
|
ベーススコア
|
ベクター
|
重大度
|
認証されていないリモートエクスプロイト
|
CVE-2023-48795 |
5.9
|
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
|
中 |
あり |
CVE-2021-23017 |
7.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L |
高 |
あり |
CVE-2021-3618 |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
高 |
あり |
CVE-2019-20372 |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
中 |
あり |