NVD Vulnerability Detail

CVE-2020-5526

Summary	The AWMS Mobile App for Android 2.0.0 to 2.0.5 and for iOS 2.0.0 to 2.0.8 does not verify X.509 certificates from servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.
Publication Date	Jan. 31, 2020, 1:15 p.m.
Registration Date	Jan. 26, 2021, 11:59 a.m.
Last Update	Nov. 21, 2024, 2:34 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:fujixerox:apeosware_management_suite::::::iphone_os::*	2.0.0	2.0.8
cpe:2.3:a:fujixerox:apeosware_management_suite::::::android::*	2.0.0	2.0.5

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN00014057/index.html	Third Party Advisory
2	http://jvn.jp/en/jp/JVN00014057/index.html	Third Party Advisory
3	http://onlinesupport.fujixerox.com/processDriverForm.do?ctry_code=SG&lang_code=en&d_lang=en&corp_pid=AWMS2&rts=null&model=ApeosWare+Management+Suite+2&type_id=7&oslist=Windows+10+64bit&lang_list=en	Vendor Advisory
4	http://onlinesupport.fujixerox.com/processDriverForm.do?ctry_code=SG&lang_code=en&d_lang=en&corp_pid=AWMS2&rts=null&model=ApeosWare+Management+Suite+2&type_id=7&oslist=Windows+10+64bit&lang_list=en	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

JVN Vulnerability Information

スマートフォンアプリ「AWMS Mobile」におけるサーバ証明書の検証不備の脆弱性

Title	スマートフォンアプリ「AWMS Mobile」におけるサーバ証明書の検証不備の脆弱性
Summary	富士ゼロックス株式会社が提供するスマートフォンアプリ「AWMS Mobile」には、サーバ証明書の検証不備の脆弱性 (CWE-295) が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 東京電機大学工学部情報通信工学科暗号方式・暗号プロトコル研究室中村大氏
Possible impacts	中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	Jan. 31, 2020, midnight
Registration Date	Jan. 31, 2020, 12:09 p.m.
Last Update	April 12, 2021, 1:30 p.m.

Affected System

富士ゼロックス株式会社

AWMS Mobile Android アプリ 2.0.0 から 2.0.5 まで

AWMS Mobile iOS アプリ 2.0.0 から 2.0.8 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5526	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5526

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Fuji Xerox
1	AWMS Mobile における証明書検証不備およびホスト名検証不備の脆弱性について	https://www.fujixerox.co.jp/support/software/aw_manage_suite/contents/awms2_notice01

その他

No	Name	URL
JVN
1	JVN#00014057	https://jvn.jp/jp/JVN00014057/index.html

Change Log

No	Changed Details	Date of change
1	[2020年01月31日] 掲載	Jan. 31, 2020, 12:05 p.m.
2	[2021年04月12日] ベンダ情報：ベンダ情報のURLを更新	April 12, 2021, 12:10 p.m.