NVD Vulnerability Detail

CVE-2019-6005

Summary	Smart TV Box firmware version prior to 1300 allows remote attackers to bypass access restriction to conduct arbitrary operations on the device without user's intent, such as installing arbitrary software or changing the device settings via Android Debug Bridge port 5555/TCP.
Publication Date	Sept. 13, 2019, 2:15 a.m.
Registration Date	Jan. 26, 2021, 11:43 a.m.
Last Update	Nov. 21, 2024, 1:45 p.m.

CVSS3.1 : CRITICAL
スコア	9.8
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:kddi:smart_tv_box_firmware::::::::					1300
execution environment
1	cpe:2.3:h:kddi:smart_tv_box:-:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN17127920/index.html		Third Party Advisory
2	http://jvn.jp/en/jp/JVN17127920/index.html		Third Party Advisory

Common Vulnerabilities List

JVN Vulnerability Information

Smart TV Box におけるアクセス制限不備の脆弱性

Title	Smart TV Box におけるアクセス制限不備の脆弱性
Summary	ＫＤＤＩ株式会社が提供する Smart TV Box は、LAN 側インタフェースのポート 5555/TCP 経由で Android Debug Bridge へのアクセスが可能です。回線事業者が当該製品をユーザ宅に設置する際には、外部から当該製品の LAN 側インタフェースに直接アクセスできないような接続形態で、設置を行っています。しかしその後、接続形態を変更して LAN 側インタフェースを直接インターネット回線に接続するなど、外部から Android Debug Bridge へのアクセスが可能になると、ユーザが意図しない操作をされる可能性があります。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 情報通信研究機構サイバーセキュリティ研究所森好樹氏、久保正樹氏
Possible impacts	遠隔の第三者によって、ユーザが意図しないソフトウェアをインストールされたり、当該製品の設定が変更されたりする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。あわせて、外部から当該製品の LAN 側インタフェースに直接アクセスされないよう、回線事業者が設置したとおりの接続方法で当該製品がネットワーク接続されていることを確認してください。
Publication Date	Aug. 23, 2019, midnight
Registration Date	Aug. 23, 2019, 2:08 p.m.
Last Update	Oct. 8, 2019, 5:35 p.m.

Affected System

KDDI

Smart TV Box ファームウェアバージョン 1300 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-6005	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6005
National Vulnerability Database (NVD)
2	CVE-2019-6005	https://nvd.nist.gov/vuln/detail/CVE-2019-6005

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
ＫＤＤＩ株式会社
1	[お知らせ] Smart TV Box ソフトウェア更新のお知らせ	https://news.kddi.com/kddi/cable-service/smart-tv-box/201902273642.html

その他

No	Name	URL
JVN
1	JVN#17127920	https://jvn.jp/jp/JVN17127920/index.html

Change Log

No	Changed Details	Date of change
1	[2019年08月23日] 掲載	Aug. 16, 2019, 12:20 p.m.
2	[2019年10月08日] 参考情報：National Vulnerability Database (NVD) (CVE-2019-6005) を追加	Oct. 8, 2019, 4:24 p.m.