LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report) | ScanNetSecurity
2020.08.12(水)

LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report)

2020 年 5 月に、Hewlett Packard 社の OSS である LinuxKI に遠隔コード実行につながる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report)
LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report) 全 1 枚 拡大写真
◆概要
 2020 年 5 月に、Hewlett Packard 社の OSS である LinuxKI に遠隔コード実行につながる脆弱性が報告されています。攻撃者に脆弱性が悪用されてしまった場合は、LinuxKI の Web コンソールの実行権限で侵入されてしまいます。ソフトウェアのアップデートやアクセス制御などにより対策してください。

◆分析者コメント
 ソフトウェアの性質的に、インターネット上に公開されている可能性が低いと考えられますが、認証なしで容易に遠隔コード実行が可能であるため、当該ソフトウェアを利用している場合はソフトウェアのアップデートにより早急に対策してください。アクセス制御の見直しも併せて推奨します。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-7209&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 LinuxKI のバージョン 6.0.1 およびそれよりも古いバージョンが当該脆弱性の影響を受けます。

◆解説
 Hewlett Packard 社によるパフォーマンス解析ツールである LinuxKI の Web コンソールに、OS コマンドインジェクションの脆弱性が報告されています。

《株式会社ラック デジタルペンテストサービス部》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  2. IDの登録情報システムに不具合、最大38万件が別ユーザーに上書きされる(ヤフー)

    IDの登録情報システムに不具合、最大38万件が別ユーザーに上書きされる(ヤフー)

  3. 決済サービス用コンピュータに不正アクセスし決済情報を偽る、21歳男性を逮捕(三重県警察)

    決済サービス用コンピュータに不正アクセスし決済情報を偽る、21歳男性を逮捕(三重県警察)

  4. 11拠点のパソコンがEmotet感染、なりすましメールを送信(ネッツトヨタ静岡)

    11拠点のパソコンがEmotet感染、なりすましメールを送信(ネッツトヨタ静岡)

  5. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  6. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  7. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  8. 「ゼロトラストNW」「SASE」新規追加、2020年版ハイプサイクル(ガートナー ジャパン)

    「ゼロトラストNW」「SASE」新規追加、2020年版ハイプサイクル(ガートナー ジャパン)

  9. 職員のアカウントを踏み台に1,733名に不審メール送信(LINK-J)

    職員のアカウントを踏み台に1,733名に不審メール送信(LINK-J)

  10. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

ランキングをもっと見る