製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Trango 製品におけるハードコードされた認証情報の使用に関する脆弱性

Title	複数の Trango 製品におけるハードコードされた認証情報の使用に関する脆弱性
Summary	複数の Trango 製品には、ハードコードされた認証情報の使用に関する脆弱性が存在します。
Possible impacts	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Nov. 10, 2016, midnight
Registration Date	April 28, 2017, 4:55 p.m.
Last Update	April 28, 2017, 4:55 p.m.

Affected System

Trango Systems, Inc.

Apex Lynx ファームウェア

Apex Orion ファームウェア

Giga Lynx ファームウェア

Giga Orion ファームウェア

StrataLink ファームウェア

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-10307	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10307
National Vulnerability Database (NVD)
2	CVE-2016-10307	https://nvd.nist.gov/vuln/detail/CVE-2016-10307

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-798	https://cwe.mitre.org/data/definitions/798.html

ベンダー情報

No	Name	URL
Trango Systems
1	Top Page	http://support.trangosys.com/hc/en-us

その他

No	Name	URL
関連文書
1	Trango Systems Hidden root Account Vulnerability (all models)	http://blog.iancaling.com/post/153011925478/trango-systems-hidden-root-account-vulnerability

Change Log

No	Changed Details	Date of change
0	[2017年04月28日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-10307

Summary	Trango ApexLynx 2.0, ApexOrion 2.0, GigaLynx 2.0, GigaOrion 2.0, and StrataLink 3.0 devices have a built-in, hidden root account, with a default password for which the MD5 hash value is public (but the cleartext value is perhaps not yet public). This account is accessible via SSH and/or TELNET, and grants access to the underlying embedded UNIX OS on the device, allowing full control over it.
Publication Date	March 30, 2017, 4:59 p.m.
Registration Date	Jan. 26, 2021, 2:05 p.m.
Last Update	Nov. 21, 2024, 11:43 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:gotrango:apex_lynx_firmware:2.0:::::::*
execution environment
1	cpe:2.3:h:gotrango:apex_lynx:-:::::::*

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:gotrango:apex_orion_firmware:2.0:::::::*
execution environment
1	cpe:2.3:h:gotrango:apex_orion:-:::::::*

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:gotrango:giga_lynx_firmware:2.0:::::::*
execution environment
1	cpe:2.3:h:gotrango:giga_lynx:-:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:o:gotrango:giga_orion_firmware:2.0:::::::*
execution environment
1	cpe:2.3:h:gotrango:giga_orion:-:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:o:gotrango:stratalink_firmware::::::::			3.0
execution environment
1	cpe:2.3:h:gotrango:stratalink:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://blog.iancaling.com/post/153011925478	Exploit Third Party Advisory
2	http://blog.iancaling.com/post/153011925478	Exploit Third Party Advisory
3	http://www.securityfocus.com/bid/97242	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/97242	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-798	ハードコードされた認証情報の使用	https://cwe.mitre.org/data/definitions/798.html