NVD脆弱性詳細

CVE-2019-12948

概要	A vulnerability in the web-based management interface of VVX, Trio, SoundStructure, SoundPoint, and SoundStation phones running Polycom UC Software, if exploited, could allow an authenticated, remote attacker with admin privileges to cause a denial of service (DoS) condition or execute arbitrary code.
公表日	2019年7月30日1:15
登録日	2021年1月26日11:38
最終更新日	2024年11月21日13:23

CVSS3.0 : HIGH
スコア	8.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	低

CVSS2.0 : MEDIUM
スコア	6.5
ベクター	AV:N/AC:L/Au:S/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	単一
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:polycom:unified_communications_software::::::::					5.8.5.1256
cpe:2.3:o:polycom:unified_communications_software::::::::		5.9.3			5.9.3.2857
cpe:2.3:o:polycom:unified_communications_software::::::::		6.0.0			6.0.0.4839
実行環境
1	cpe:2.3:h:polycom:c12:-:::::::*
2	cpe:2.3:h:polycom:c16:-:::::::*
3	cpe:2.3:h:polycom:c8:-:::::::*
4	cpe:2.3:h:polycom:vvx150:-:::::::*
5	cpe:2.3:h:polycom:vvx201:-:::::::*
6	cpe:2.3:h:polycom:vvx250:-:::::::*
7	cpe:2.3:h:polycom:vvx301:-:::::::*
8	cpe:2.3:h:polycom:vvx311:-:::::::*
9	cpe:2.3:h:polycom:vvx350:-:::::::*
10	cpe:2.3:h:polycom:vvx401:-:::::::*
11	cpe:2.3:h:polycom:vvx411:-:::::::*
12	cpe:2.3:h:polycom:vvx450:-:::::::*
13	cpe:2.3:h:polycom:vvx501:-:::::::*
14	cpe:2.3:h:polycom:vvx601:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:polycom:united_communications_software::::::::					5.9.0
実行環境
1	cpe:2.3:h:polycom:trio_8500:-:::::::*
2	cpe:2.3:h:polycom:trio_8800:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:polycom:united_communications_software::::::::					4.0.14.1580
実行環境
1	cpe:2.3:h:polycom:soundpoint_ip_300:-:::::::*
2	cpe:2.3:h:polycom:soundpoint_ip_301:-:::::::*
3	cpe:2.3:h:polycom:soundpoint_ip_320:-:::::::*
4	cpe:2.3:h:polycom:soundpoint_ip_321:-:::::::*
5	cpe:2.3:h:polycom:soundpoint_ip_330:-:::::::*
6	cpe:2.3:h:polycom:soundpoint_ip_331:-:::::::*
7	cpe:2.3:h:polycom:soundpoint_ip_335:-:::::::*
8	cpe:2.3:h:polycom:soundpoint_ip_430:-:::::::*
9	cpe:2.3:h:polycom:soundpoint_ip_450:-:::::::*
10	cpe:2.3:h:polycom:soundpoint_ip_500:-:::::::*
11	cpe:2.3:h:polycom:soundpoint_ip_501:-:::::::*
12	cpe:2.3:h:polycom:soundpoint_ip_550:-:::::::*
13	cpe:2.3:h:polycom:soundpoint_ip_560:-:::::::*
14	cpe:2.3:h:polycom:soundpoint_ip_600:-:::::::*
15	cpe:2.3:h:polycom:soundpoint_ip_601:-:::::::*
16	cpe:2.3:h:polycom:soundpoint_ip_650:-:::::::*
17	cpe:2.3:h:polycom:soundpoint_ip_670:-:::::::*
18	cpe:2.3:h:polycom:soundpoint_pro_se-220:-:::::::*
19	cpe:2.3:h:polycom:soundpoint_pro_se-225:-:::::::*
20	cpe:2.3:h:polycom:soundstation_duo:-:::::::*
21	cpe:2.3:h:polycom:soundstation_ip_4000:-:::::::*
22	cpe:2.3:h:polycom:soundstation_ip_5000:-:::::::*
23	cpe:2.3:h:polycom:soundstation_ip_6000:-:::::::*
24	cpe:2.3:h:polycom:soundstation_ip_7000:-:::::::*
25	cpe:2.3:h:polycom:soundstation_ip_7000_video_integration:-:::::::*
26	cpe:2.3:h:polycom:soundstation_vtx_1000:-:::::::*
27	cpe:2.3:h:polycom:soundstation2:-:::::::*
28	cpe:2.3:h:polycom:soundstation2_avaya_2490:-:::::::*
29	cpe:2.3:h:polycom:soundstation2_direct_connect_for_nortel:-:::::::*
30	cpe:2.3:h:polycom:soundstation2w:-:::::::*

構成4		以上	以下	より上	未満
cpe:2.3:o:polycom:unified_communications_software::::::::					5.8.5.1256
cpe:2.3:o:polycom:unified_communications_software::::::::		5.9.3			5.9.3.2857
実行環境
1	cpe:2.3:h:polycom:vvx300:-:::::::*
2	cpe:2.3:h:polycom:vvx310:-:::::::*
3	cpe:2.3:h:polycom:vvx400:-:::::::*
4	cpe:2.3:h:polycom:vvx410:-:::::::*
5	cpe:2.3:h:polycom:vvx500:-:::::::*
6	cpe:2.3:h:polycom:vvx600:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-1.pdf		Vendor Advisory
2	https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-1.pdf		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-749	危険なメソッドや機能の公開	https://cwe.mitre.org/data/definitions/749.html

JVN脆弱性情報

Polycom UC Software における危険なメソッドや機能の公開に関する脆弱性

タイトル	Polycom UC Software における危険なメソッドや機能の公開に関する脆弱性
概要	Polycom UC Software には、危険なメソッドや機能の公開に関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2019年7月26日0:00
登録日	2019年8月7日17:26
最終更新日	2019年8月7日17:26

影響を受けるシステム

Polycom

Unified Communications Software

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-12948	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12948
National Vulnerability Database (NVD)
2	CVE-2019-12948	https://nvd.nist.gov/vuln/detail/CVE-2019-12948

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-749	https://cwe.mitre.org/data/definitions/749.html

ベンダー情報

No	名前	URL
Security Advisory
1	SECURITY ADVISORY - UC Software - Remote Code Execution Vulnerability	https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-1.pdf

変更履歴

No	変更内容	変更日
1	[2019年08月07日] 掲載	2019年8月7日17:26

構成1		以上	以下	より上	未満
cpe:2.3:o:polycom:unified_communications_software::::::::					5.8.5.1256
cpe:2.3:o:polycom:unified_communications_software::::::::		5.9.3			5.9.3.2857
cpe:2.3:o:polycom:unified_communications_software::::::::		6.0.0			6.0.0.4839
実行環境
1	cpe:2.3:h:polycom:c12:-:::::::*
2	cpe:2.3:h:polycom:c16:-:::::::*
3	cpe:2.3:h:polycom:c8:-:::::::*
4	cpe:2.3:h:polycom:vvx150:-:::::::*
5	cpe:2.3:h:polycom:vvx201:-:::::::*
6	cpe:2.3:h:polycom:vvx250:-:::::::*
7	cpe:2.3:h:polycom:vvx301:-:::::::*
8	cpe:2.3:h:polycom:vvx311:-:::::::*
9	cpe:2.3:h:polycom:vvx350:-:::::::*
10	cpe:2.3:h:polycom:vvx401:-:::::::*
11	cpe:2.3:h:polycom:vvx411:-:::::::*
12	cpe:2.3:h:polycom:vvx450:-:::::::*
13	cpe:2.3:h:polycom:vvx501:-:::::::*
14	cpe:2.3:h:polycom:vvx601:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:polycom:united_communications_software::::::::					4.0.14.1580
実行環境
1	cpe:2.3:h:polycom:soundpoint_ip_300:-:::::::*
2	cpe:2.3:h:polycom:soundpoint_ip_301:-:::::::*
3	cpe:2.3:h:polycom:soundpoint_ip_320:-:::::::*
4	cpe:2.3:h:polycom:soundpoint_ip_321:-:::::::*
5	cpe:2.3:h:polycom:soundpoint_ip_330:-:::::::*
6	cpe:2.3:h:polycom:soundpoint_ip_331:-:::::::*
7	cpe:2.3:h:polycom:soundpoint_ip_335:-:::::::*
8	cpe:2.3:h:polycom:soundpoint_ip_430:-:::::::*
9	cpe:2.3:h:polycom:soundpoint_ip_450:-:::::::*
10	cpe:2.3:h:polycom:soundpoint_ip_500:-:::::::*
11	cpe:2.3:h:polycom:soundpoint_ip_501:-:::::::*
12	cpe:2.3:h:polycom:soundpoint_ip_550:-:::::::*
13	cpe:2.3:h:polycom:soundpoint_ip_560:-:::::::*
14	cpe:2.3:h:polycom:soundpoint_ip_600:-:::::::*
15	cpe:2.3:h:polycom:soundpoint_ip_601:-:::::::*
16	cpe:2.3:h:polycom:soundpoint_ip_650:-:::::::*
17	cpe:2.3:h:polycom:soundpoint_ip_670:-:::::::*
18	cpe:2.3:h:polycom:soundpoint_pro_se-220:-:::::::*
19	cpe:2.3:h:polycom:soundpoint_pro_se-225:-:::::::*
20	cpe:2.3:h:polycom:soundstation_duo:-:::::::*
21	cpe:2.3:h:polycom:soundstation_ip_4000:-:::::::*
22	cpe:2.3:h:polycom:soundstation_ip_5000:-:::::::*
23	cpe:2.3:h:polycom:soundstation_ip_6000:-:::::::*
24	cpe:2.3:h:polycom:soundstation_ip_7000:-:::::::*
25	cpe:2.3:h:polycom:soundstation_ip_7000_video_integration:-:::::::*
26	cpe:2.3:h:polycom:soundstation_vtx_1000:-:::::::*
27	cpe:2.3:h:polycom:soundstation2:-:::::::*
28	cpe:2.3:h:polycom:soundstation2_avaya_2490:-:::::::*
29	cpe:2.3:h:polycom:soundstation2_direct_connect_for_nortel:-:::::::*
30	cpe:2.3:h:polycom:soundstation2w:-:::::::*