nerves-hub nerves_hub_webにおける不適切な認可の脆弱性により、デバイスの一括操作およびデバイス更新APIを介して組織を跨いだデバイス制御が可能になります。デバイス一括操作およびデバイス更新APIエンドポイントに認可チェックが欠如しているため、認証されたユーザーが他の組織に属するデバイスを対象にし、権限レベルを超えた操作を実行できます。攻撃者はデバイス識別子を操作して所属外のデバイスを選択し、その管理操作（例えば支配下のプロダクトへの移動など）を行うことができます。これによりファームウェアの更新妨害、プラットフォームが提供するデバイス機能へのアクセス、デバイス接続の妨害が可能となります。リモートコンソールアクセスなどの追加機能が有効化されている環境では、影響を受けたデバイスの完全な乗っ取りにつながる恐れがあります。この問題はnerves_hub_webのバージョン1.0.0から2.4.0未満に影響を及ぼします。

ベンダ情報を参照して適切な対策を実施してください。