MoxaのThingsPro 2シリーズのシステムソフトウェアに複数の製品脆弱性が見つかりました。これを受け、Moxaはそれらの脆弱性に対処するための関連対策をリリーズしました。
見つかった脆弱性の種類と潜在的な影響は以下の通りです。
項目 |
脆弱性の種類 |
影響 |
1 |
ユーザー列挙 |
リモートの攻撃者がWebアプリケーション内の有効なユーザーを発見できます。またブルートフォースを使用することで、この脆弱性を悪用し、対応するパスワードを発見できます。 |
2 |
ユーザー特権のエスカレーション |
この脆弱性を利用することで、リモートの攻撃者はより多くの特権を獲得できます。 |
3 |
アクセス制御の不備 |
この脆弱性を利用することで、リモートの攻撃者はより多くの特権を獲得できます。 |
4 |
サーバーがパスワード変更時に古いパスワードを要求しない |
リモートの攻撃者が容易にパスワードを変更できてしまいます。 |
5 |
機密情報の平文保存 |
リモートの攻撃者が権限トークンを推測できます。 |
6 |
隠しトークンに特権のエスカレーションが存在 |
リモートの攻撃者が隠しトークンAPIへのアクセスを通じてroot特権を獲得し、コマンドを実行できる可能性があります。 |
7 |
コードのリモート実行 |
リモートの攻撃者がこれを利用して文字列を注入し、サーバーに追加のコマンドの実行を強制できます。 |