ANTlabs製ゲートウェイ機器「InnGate」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、ANTlabsが提供する来客用ネットワーク向けのゲートウェイ機器「InnGate」にSQLインジェクションおよびXSSの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2015.7.7 Tue 18:43

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は7月7日、ANTlabsが提供する来客用ネットワーク（visitor-based network）向けのゲートウェイ機器「InnGate」にSQLインジェクションおよびクロスサイトスクリプティング（XSS）の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSSによる最大Base Scoreは7.8。

「IG3100 model 3100, model 3101」「InnGate 3.00 E-Series, 3.01 E-Series, 3.02 E-Series, 3.10 E-Series」「InnGate 3.01 G-Series, 3.10 G-Series」「SSG 4」「SG 4」には、SQLインジェクション（CVE-2015-2849）およびXSSの脆弱性（CVE-2015-2850）が存在する。これらの脆弱性が悪用されると、当該製品のデータベースに対して任意のクエリを実行されたり、細工された URL にアクセスすることで、管理ユーザの認証情報を攻撃者に取得される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》