「UNIVERGE」シリーズの「IP-PBX」製品に脆弱性

NECプラットフォームズが提供する「UNIVERGE」シリーズの「IP-PBX」製品に脆弱性が明らかとなった。

「UNIVERGE Aspire WX」「同Aspire UX」のリモート保守機能においてサービス拒否の脆弱性「CVE-2021-20677」が明らかとなったもの。サポートが終了している「同UNIVERGE SV9100」「同SL2100」も影響を受ける。

細工されたコマンドにより脆弱性を悪用されると、システムがダウンするおそれがある。「リモート保守機能」はメーカーの保守作業者が利用するもので、初期設定では「無効」になっているという。共通脆弱性評価システムである「CVSSv3.0」のベーススコアは「3.1」。

同社が周知を目的に情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。

同社は脆弱性を修正した「UNIVERGE Aspire WX 4.00」「同Aspire UX 9.80」「同SV9100 11.00」「同SL2100 3.10 」を提供しており、アップデートが呼びかけられている。

（Security NEXT - 2021/03/22 ） ツイート

PR

関連記事

Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
「Chrome」に30件の脆弱性 - 「クリティカル」が4件
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加