Loxone Smart Home Miniserver < 6.3 複数の脆弱性
medium Nessus プラグイン ID 81810
Language:
概要
リモートデバイスは複数の脆弱性の影響を受けます。説明
バナーによると、リモートの Loxone Smart Home Miniserver デバイスのバージョンは 6.3 より前です。したがって、以下の複数の脆弱性による影響を受けます。- デバイスが全てのデータを平文で伝送することによる、情報漏洩の脆弱性が存在します。リモートの中間攻撃者が伝送データを読み取り、デバイスの認証情報を漏洩させる可能性があります。
- ページが異なるドメインから生成されている場合、Web ページ間でのアクセスに対する JavaScript の不適切な制限による、クロスフレームスクリプティングの脆弱性が存在します。リモートの攻撃者がこれを悪用して、ある Web ページを使って他のページからコンテンツをロードし、Web サイトの生成元を隠す可能性があります。
- HTTP リクエストの不適切な検証による、クロスサイトリクエスト偽造(XSRF)の脆弱性が存在します。
- 応答ヘッダーに付加された入力の不適切な検証による、HTTP 応答分割の脆弱性が存在します。これにより、攻撃者が任意の HTTP ヘッダーを挿入し、クッキーと認証ステータスを操作することが可能です。
- HTTP リクエストの不適切な検証による、折り返し型クロスサイトスクリプティングの脆弱性が複数存在します。
- 新しいタスクの説明フィールドコンテンツの不適切な検証による、蓄積型クロスサイトスクリプティングの脆弱性が存在します。
- プログラムがユーザーの認証情報を保存する方法が安全でないため、情報漏洩の脆弱性が存在します。認証情報は暗号化されますが、復号化で使用する鍵が認証なしでリクエストされる可能性があります。
- SYN フラッドと無効な形式の HTTP リクエストを通じて悪用される可能性がある、複数のサービス拒否の脆弱性が存在します。
注意:Nessus はこれらの問題に対してテストしていませんが、その代わりにデバイスの自己報告バージョン番号にのみ依存しています。
ソリューション
Loxone Smart Home Miniserver ファームウェアをバージョン 6.3 以降にアップグレードしてください。注意:ファームウェアバージョン6.3には、依然として2つの情報漏洩の脆弱性が存在します。弊社ではこれらの問題のソリューションを現在認識していません。
参考資料
プラグインの詳細
深刻度: Medium
ID: 81810
ファイル名: loxone_smart_home_miniserver_6_3.nasl
バージョン: 1.8
タイプ: remote
ファミリー: Misc.
公開日: 2015/3/13
更新日: 2019/1/2
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: x-cpe:/h:loxone:smart_home_miniserver
必要な KB アイテム: installed_sw/Loxone Smart Home Miniserver
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/2/25
脆弱性公開日: 2015/2/27
参照情報
BID: 72804