Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ビデオ会議などに用いるGrandstream製IP-PBXに深刻な脆弱性

ビデオ会議などの機能を提供するGrandstream Networks製IP-PBXの「UCM6200シリーズ」に深刻な脆弱性が含まれていることが明らかになった。2月以降、複数回のアップデートがリリースされており、一部は未修正となっている。

同シリーズのウェブインターフェースにおいて、「CVE-2020-5722」をはじめ、SQLインジェクションやパスワード管理などに脆弱性が明らかとなったもの。

「CVE-2020-5722」は、認証を必要とすることなく、root権限でコマンドを実行したり、パスワードの回復メールを送信することが可能となるSQLインジェクションの脆弱性。

「同1.0.19.20」で修正されたが、対応が不十分でパスワード回復メールにHTMLを挿入することが可能だった。2月3日に公開された「同1.0.20.17」以降で修正されている。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最大値10のところ「9.8」とレーティングされている。

(Security NEXT - 2020/04/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

Oracle、四半期定例パッチをリリース - 約500件の脆弱性に対応
Zohoの端末管理製品に深刻な脆弱性 - バグ報奨金制度通じて報告
Check Pointのエンドポイントソフトに権限昇格のおそれ
トレンドの法人向けエンドポイント製品に複数脆弱性
「VMware Workstation」「VMware Horizon Client」にサービス拒否の脆弱性
ラベルプリンタ「テプラ」の一部製品に脆弱性 - Wi-Fiの認証情報が漏洩するおそれ
「H2DB」にRCE脆弱性 - 「Log4Shell」と同じく「JNDI」に起因
SAP、月例アドバイザリを公開 - 多数製品で「Log4Shell」に対応
脆弱性を修正した「iOS 15.2.1」「iPadOS 15.2.1」を公開
キングジムのパスワード管理端末に脆弱性 -利用中止を