| タイトル | SenseLiveのX3500 Firmwareにおける重要な機能に対する認証の欠如に関する脆弱性 |
|---|---|
| 概要 | SenseLive X3050の組み込み管理サービスに脆弱性があり、SenseLive構成アプリケーションにおいて認証や認可のいかなる形式もなく、完全な管理権限を取得されてしまいます。このサービスは任意の到達可能なホストからの管理接続を受け入れ、ベンダー提供または互換クライアントを通じて、重要な構成パラメータや動作モード、デバイスの状態を制限なく変更できる状態になっています。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月24日0:00 |
| 登録日 | 2026年4月30日12:18 |
| 最終更新日 | 2026年4月30日12:18 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| SenseLive |
| X3500 Firmware 1.523 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
2026年4月30日12:18 |
| 概要 | A vulnerability in SenseLive X3050’s embedded management service allows full administrative control to be established without any form of authentication or authorization on the SenseLive config application. The service accepts management connections from any reachable host, enabling unrestricted modification of critical configuration parameters, operational modes, and device state through a vendor-supplied or compatible client. |
|---|---|
| 公表日 | 2026年4月24日9:16 |
| 登録日 | 2026年4月25日4:07 |
| 最終更新日 | 2026年4月29日4:32 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:senselive:x3500_firmware:1.523:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |