NVD Vulnerability Detail
Search Exploit, PoC
CVE-2020-25195
Summary

The length of the input fields of Host Engineering H0-ECOM100, H2-ECOM100, and H4-ECOM100 modules are verified only on the client side when receiving input from the configuration web server, which may allow an attacker to bypass the check and send input to crash the device.

Publication Date Dec. 16, 2020, 5:15 a.m.
Registration Date Jan. 26, 2021, 11:55 a.m.
Last Update Nov. 21, 2024, 2:17 p.m.
CVSS3.1 : HIGH
スコア 7.5
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
CVSS2.0 : HIGH
Score 7.8
Vector AV:N/AC:L/Au:N/C:N/I:N/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:hosteng:h0-ecom100_firmware:*:*:*:*:*:*:*:* 4.0.348
execution environment
1 cpe:2.3:h:hosteng:h0-ecom100:6:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:hosteng:h0-ecom100_firmware:*:*:*:*:*:*:*:* 4.1.113
execution environment
1 cpe:2.3:h:hosteng:h0-ecom100:7:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:hosteng:h0-ecom100_firmware:*:*:*:*:*:*:*:* 5.0.149
execution environment
1 cpe:2.3:h:hosteng:h0-ecom100:9:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:o:hosteng:h2-ecom100_firmware:*:*:*:*:*:*:*:* 4.0.2148
execution environment
1 cpe:2.3:h:hosteng:h2-ecom100:5:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:o:hosteng:h2-ecom100_firmware:*:*:*:*:*:*:*:* 5.0.1043
execution environment
1 cpe:2.3:h:hosteng:h2-ecom100:8:*:*:*:*:*:*:*
Configuration6 or higher or less more than less than
cpe:2.3:o:hosteng:h4-ecom100_firmware:*:*:*:*:*:*:*:* 4.0.2148
execution environment
1 cpe:2.3:h:hosteng:h4-ecom100:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Host Engineering 製 ECOM100 Module に不適切な入力検証の脆弱性
Title Host Engineering 製 ECOM100 Module に不適切な入力検証の脆弱性
Summary

Host Engineering 社が提供する ECOM100 Moduke には不適切な入力検証の脆弱性が存在します。 Hosting Engineering 社が提供する ECOM100 Module は、Hosting Engineering 製の機器でイーサネットを使用したデータ通信を可能にするための拡張モジュールです。ECOM100 Module には、当該製品に組み込まれた Web サーバ経由で機器の設定を行う際、クライアント側でしか入力値の検証がされない、不適切な入力検証の脆弱性 (CWE-20) が存在します。

Possible impacts 遠隔の第三者によって、入力値のチェックを回避して不適切な値が送信され、機器がクラッシュさせられる可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 Host Engineering 社は、同社のソフトウェアユーティリティ NetEdit3 の Live Update を使用して当該製品のアップデートを推奨しています。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。  * Web サーバの機能を無効にする
Publication Date Dec. 11, 2020, midnight
Registration Date Dec. 14, 2020, 5:21 p.m.
Last Update Dec. 14, 2020, 5:21 p.m.
Affected System
Host Engineering
H0-ECOM100 モジュール Version 6x およびそれ以前のハードウェアかつ Version 4.0.348 およびそれ以前のファームウェア
H0-ECOM100 モジュール Version 7x のハードウェアかつ Version 4.1.113 およびそれ以前のファームウェア
H0-ECOM100 モジュール Version 9x のハードウェアかつ Version 5.0.149 およびそれ以前のファームウェア
H2-ECOM100 モジュール Version 5x のハードウェアかつ Version 4.0.2148 およびそれ以前のファームウェア
H2-ECOM100 モジュール Version 8x のハードウェアかつ Version 5.0.1043 およびそれ以前のファームウェア
H4-ECOM100 モジュール Version 4.0.2148 およびそれ以前のハードウェア
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2020年12月14日]
  掲載		 Dec. 14, 2020, 5:21 p.m.