CVE-2020-9049
| Summary |
A vulnerability in specified versions of American Dynamics victor Web Client and Software House C•CURE Web Client could allow an unauthenticated attacker on the network to create and sign their own JSON Web Token and use it to execute an HTTP API Method without the need for valid authentication/authorization. Under certain circumstances, this could be used by an attacker to impact system availability by conducting a Denial of Service attack.
|
| Publication Date |
Nov. 20, 2020, 1:15 a.m. |
| Registration Date |
Jan. 26, 2021, 12:02 p.m. |
| Last Update |
Nov. 21, 2024, 2:39 p.m. |
|
CVSS3.1 : MEDIUM
|
| スコア |
5.3
|
| Vector |
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
| 攻撃元区分(AV) |
隣接 |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
高 |
|
CVSS2.0 : MEDIUM
|
| Score |
5.7
|
| Vector |
AV:A/AC:M/Au:N/C:N/I:N/A:C |
| 攻撃元区分(AV) |
隣接 |
| 攻撃条件の複雑さ(AC) |
中 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
高 |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:johnsoncontrols:c-cure_web:*:*:*:*:*:*:*:* |
|
2.90 |
|
|
| cpe:2.3:a:johnsoncontrols:victor_web:*:*:*:*:*:*:*:* |
|
5.6 |
|
|
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数の Sensormatic Electronics 製品に不適切な認可処理の脆弱性
| Title |
複数の Sensormatic Electronics 製品に不適切な認可処理の脆弱性
|
| Summary |
Sensormatic Electronics 社が提供する American Dynamics victor Web Client は、American Dynamics 社のビデオ管理システムである victor にアクセスするためのソフトウェアです。また、Software House C CURE Web Client は、Software House 社の入退室管理システム C CURE を Web ブラウザー経由で監視、管理するためのソフトウェアです。 American Dynamics victor Web Client および Software House C CURE Web Client には、不適切な認可処理の脆弱性 (CWE-285) が存在します。
|
| Possible impacts |
隣接するネットワーク上の第三者が、独自の JSON Web トークンを作成して署名し、それを使用することによって、認証、認可を必要とせずに HTTP API メソッドを実行する可能性があります。結果として、特定の状況下でサービス運用妨害 (DoS) を引き起こす可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 * American Dynamics victor Unified Client v5.6 SP1 * Software House C CURE Web Client v2.70 以上にアップデートし、下記をインストールする * C CURE Web v2.70:WebClient_c2.70_5.2_Update02 をインストールする * C CURE Web v2.80:WebClient_c2.80_v5.4.1_Update04 をインストールする * C CURE Web v2.90:CCureWeb_2.90_Update01 をインストールする |
| Publication Date |
Nov. 18, 2020, midnight |
| Registration Date |
Nov. 19, 2020, 5:56 p.m. |
| Last Update |
Nov. 19, 2020, 5:56 p.m. |
Affected System
| ジョンソンコントロールズ |
|
American Dynamics victor Web Client v5.6 およびそれ以前
|
|
Software House C CURE v2.90 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2020年11月19日]
掲載 |
Nov. 19, 2020, 5:56 p.m. |