製品・ソフトウェアに関する情報

JVN脆弱性詳細

「ドコでもeye Smart HD」SCR02HD における複数の脆弱性

Title	「ドコでもeye Smart HD」SCR02HD における複数の脆弱性
Summary	日本アンテナ株式会社が提供するワイヤレスモニター「ドコでもeye Smart HD」CR02HD には、次の複数の脆弱性が存在します。・OS コマンドインジェクション (CWE-78) - CVE-2017-10832 ・アクセス制限不備 (CWE-425) - CVE-2017-10833 ・ディレクトリ・トラバーサル (CWE-22) - CVE-2017-10834 ・任意の PHP コードが実行可能 (CWE-94) - CVE-2017-10835 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社白石雅氏
Possible impacts	想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。・遠隔の第三者によって、任意の OS コマンドを実行される - CVE-2017-10832 ・遠隔の第三者によって、各種情報を閲覧されたり、設定を変更されたりする - CVE-2017-10833 ・当該製品にログイン可能なユーザによって、当該製品に保存されている任意のファイルにアクセスされる - CVE-2017-10834 ・当該製品にログイン可能なユーザによって、当該製品上で任意の PHP コードを実行される - CVE-2017-10835
Solution	[ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。・工場出荷時のパスワードを変更する・公開されている無線 LAN 上 (公共 Wi-Fi 等) に製品を接続して使用しない・製品と外部ネットワーク間にブロードバンドルーターなどを設置し、外部ネットワークからのアクセス制限を行う
Publication Date	Aug. 23, 2017, midnight
Registration Date	Aug. 23, 2017, 2:02 p.m.
Last Update	Feb. 28, 2018, 2:27 p.m.

CVSS3.0 : 緊急
Score	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS2.0 : 危険
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P

Affected System

日本アンテナ株式会社

「ドコでもeye Smart HD」SCR02HD Firmware 1.0.3.1000 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-10832	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10832
2	CVE-2017-10833	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10833
3	CVE-2017-10834	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10834
4	CVE-2017-10835	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10835
National Vulnerability Database (NVD)
5	CVE-2017-10832	https://nvd.nist.gov/vuln/detail/CVE-2017-10832
6	CVE-2017-10833	https://nvd.nist.gov/vuln/detail/CVE-2017-10833
7	CVE-2017-10834	https://nvd.nist.gov/vuln/detail/CVE-2017-10834
8	CVE-2017-10835	https://nvd.nist.gov/vuln/detail/CVE-2017-10835

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
2	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html
3	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html
4	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
日本アンテナ株式会社
1	ネットワークカメラのご使用時におけるセキュリティに関するご注意	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf

その他

No	Name	URL
JVN
1	JVN#87410770	https://jvn.jp/jp/JVN87410770/index.html

Change Log

No	Changed Details	Date of change
0	[2017年8月23日] 掲載	Feb. 28, 2018, 2:05 p.m.
1	[2018年02月28日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-10832) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-10833) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-10834) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-10835) を追加	Feb. 28, 2018, 2:05 p.m.

NVD Vulnerability Information

CVE-2017-10832

Summary	"Dokodemo eye Smart HD" SCR02HD Firmware 1.0.3.1000 and earlier allows remote attackers to execute arbitrary OS commands via unspecified vectors.
Publication Date	Aug. 29, 2017, 10:35 a.m.
Registration Date	Jan. 26, 2021, 1:12 p.m.
Last Update	Nov. 21, 2024, 12:06 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:nippon-antenna:scr02hd_firmware::::::::			1.0.3.1000
execution environment
1	cpe:2.3:h:nippon-antenna:scr02hd:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
2	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
3	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html

CVE-2017-10833

Summary	"Dokodemo eye Smart HD" SCR02HD Firmware 1.0.3.1000 and earlier allows remote attackers to bypass access restriction to view information or modify configurations via unspecified vectors.
Publication Date	Aug. 29, 2017, 10:35 a.m.
Registration Date	Jan. 26, 2021, 1:12 p.m.
Last Update	Nov. 21, 2024, 12:06 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:nippon-antenna:scr02hd_firmware::::::::			1.0.3.1000
execution environment
1	cpe:2.3:h:nippon-antenna:scr02hd:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
2	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
3	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-425	リクエストの直接送信	https://cwe.mitre.org/data/definitions/425.html

CVE-2017-10834

Summary	Directory traversal vulnerability in "Dokodemo eye Smart HD" SCR02HD Firmware 1.0.3.1000 and earlier allows authenticated attackers to read arbitrary files via unspecified vectors.
Publication Date	Aug. 29, 2017, 10:35 a.m.
Registration Date	Jan. 26, 2021, 1:12 p.m.
Last Update	Nov. 21, 2024, 12:06 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:nippon-antenna:scr02hd_firmware::::::::			1.0.3.1000
execution environment
1	cpe:2.3:h:nippon-antenna:scr02hd:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
2	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
3	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

CVE-2017-10835

Summary	"Dokodemo eye Smart HD" SCR02HD Firmware 1.0.3.1000 and earlier allows authenticated attackers to conduct code injection attacks via unspecified vectors.
Publication Date	Aug. 29, 2017, 10:35 a.m.
Registration Date	Jan. 26, 2021, 1:12 p.m.
Last Update	Nov. 21, 2024, 12:06 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:nippon-antenna:scr02hd_firmware::::::::			1.0.3.1000
execution environment
1	cpe:2.3:h:nippon-antenna:scr02hd:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
2	http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf	Vendor Advisory
3	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN87410770/index.html	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html