製品・ソフトウェアに関する情報

JVN脆弱性詳細

Schneider Electric 製の複数のラック電力分配ユニット（PDU）におけるアクセス権のないユーザが機微な情報にアクセス可能な脆弱性

タイトル	Schneider Electric 製の複数のラック電力分配ユニット（PDU）におけるアクセス権のないユーザが機微な情報にアクセス可能な脆弱性
概要	Schneider Electric 社が提供する複数のラック電力分配ユニット（PDU）には、アクセス権のないユーザが機微な情報にアクセス可能（CWE-200, CVE-2021-22825）な脆弱性が存在します。
想定される影響	当該製品の管理者権限持つユーザが細工された URL にアクセスすると、攻撃者によって管理者権限を取得され、セキュリティトークンが損なわれる可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。　* NMC2 を使用している場合　　* AP7xxxx v7.0.6 　　* AP8xxx v7.0.6 　* NMC3 を使用している場合　　* AP7xxx v1.2.0.2 　　* AP8xxx v1.2.0.2 　　* APDU9xxx v1.2.0.2
公表日	2021年12月15日0:00
登録日	2021年12月16日15:52
最終更新日	2021年12月23日17:37

影響を受けるシステム

Schneider Electric

AP7xxx v1.1.0.3 およびそれ以前

AP7xxxx v6.9.6 およびそれ以前

AP8xxx v1.1.0.3 およびそれ以前

AP8xxx v6.9.6 およびそれ以前

APDU9xxx v1.0.0.28 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-22825	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22825

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
FUJITSU
1	Apache Log4jにおける任意のコードが実行可能な脆弱性（CVE-2021-44228）	https://www.fujitsu.com/jp/products/software/resources/condition/security/vulnerabilities/2021/jvn-96768815.html
Schneider Electric
2	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability (NMC3 RPDU2G)	https://www.apc.com/us/en/faqs/FAQ000225298/
3	Network Management Card v7.0.6 RPDU 2G Firmware Executable	https://www.se.com/ww/en/download/document/APC_RPDU2G_706_EN/
Security Notification
4	SEVD-2021-348-04 APC by Schneider Electric Rack PDU	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-21-348-02	https://www.cisa.gov/uscert/ics/advisories/icsa-21-348-02
JVN
2	JVNVU#94306028	https://jvn.jp/vu/JVNVU94306028/

変更履歴

No	変更内容	変更日
1	[2021年12月16日] 掲載	2021年12月16日14:35
2	[2021年12月23日] タイトル：内容を更新概要：内容を更新 CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新	2021年12月23日17:36

NVD脆弱性情報

CVE-2021-22825

概要	A CWE-200: Exposure of Sensitive Information to an Unauthorized Actor vulnerability exists that could allow an attacker to access the system with elevated privileges when a privileged account clicks on a malicious URL that compromises the security token. Affected Products: AP7xxxx and AP8xxx with NMC2 (V6.9.6 or earlier), AP7xxx and AP8xxx with NMC3 (V1.1.0.3 or earlier), and APDU9xxx with NMC3 (V1.0.0.28 or earlier)
公表日	2022年1月29日5:15
登録日	2022年1月29日10:00
最終更新日	2024年11月21日14:50

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:schneider-electric:rack_power_distribution_unit_with_network_management_card_2_firmware::::::::					7.0.6
実行環境
1	cpe:2.3:h:schneider-electric:rack_power_distribution_unit_with_network_management_card_2:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:schneider-electric:rack_power_distribution_unit_with_network_management_card_3_firmware::::::::					1.2.0.2
実行環境
1	cpe:2.3:h:schneider-electric:rack_power_distribution_unit_with_network_management_card_3:-:::::::*

No	URL	refsource	タグ
1	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04		Vendor Advisory
2	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04		Vendor Advisory