NVD Vulnerability Detail

CVE-2016-2343

Summary	Patterson Dental Eaglesoft 17 has a hardcoded password of sql for the dba account, which allows remote attackers to obtain sensitive Dental.DB patient information via SQL statements.
Publication Date	April 2, 2016, 8:59 a.m.
Registration Date	Jan. 26, 2021, 2:08 p.m.
Last Update	Nov. 21, 2024, 11:48 a.m.

CVSS3.0 : CRITICAL
スコア	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
Score	10.0
Vector	AV:N/AC:L/Au:N/C:C/I:C/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:patterson_dental:eaglesoft:17.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://justinshafer.blogspot.com/2016/02/moving-onto-eaglesoft-aka-patterson.html
2	http://justinshafer.blogspot.com/2016/02/moving-onto-eaglesoft-aka-patterson.html
3	http://www.kb.cert.org/vuls/id/344432	Third Party Advisory US Government Resource
4	http://www.kb.cert.org/vuls/id/344432	Third Party Advisory US Government Resource

Common Vulnerabilities List

JVN Vulnerability Information

Eaglesoft (Patterson Dental) でパスワードがハードコードされている問題

Title	Eaglesoft (Patterson Dental) でパスワードがハードコードされている問題
Summary	Patterson Dental Supply, Inc. が提供する Eaglesoft (Patterson Dental) は、歯科医向けの情報管理ソフトウェアです。Eaglesoft には、データベースのパスワードがハードコードされています。認証情報がハードコードされている問題 (CWE-798) - CVE-2016-2343 研究者によると、Eaglesoft にはバックエンドのデータベースの認証情報がハードコードされています。この認証情報はすべての Eaglesoft で共通です。Eaglesoft のデータベースには、患者に関する機微な情報が保存されています。この認証情報を変更すると、データベースへアクセスできなくなります。研究者はさらに詳しい情報をブログポストで公開しています。 CWE-798: Use of Hard-coded Credentials http://cwe.mitre.org/data/definitions/798.html ブログポスト http://justinshafer.blogspot.com/2016/02/moving-onto-eaglesoft-aka-patterson.html
Possible impacts	ハードコードされているパスワードを知る攻撃者が当該製品のデータベースにアクセスすることで、患者の機微な情報が取得される可能性があります。
Solution	2016年3月31日現在、有効な対策方法は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。　* アクセスを制限する
Publication Date	March 30, 2016, midnight
Registration Date	April 1, 2016, 12:01 p.m.
Last Update	April 5, 2016, 12:24 p.m.

Affected System

Patterson Dental Supply, Inc.

Eaglesoft

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-2343	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2343
National Vulnerability Database (NVD)
2	CVE-2016-2343	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2343

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Eaglesoft
1	Dental Software - Eaglesoft - Dental Practice Management and Imaging Software	http://patterson.eaglesoft.net/

その他

No	Name	URL
JVN
1	JVNVU#91828421	http://jvn.jp/vu/JVNVU91828421/index.html
US-CERT Vulnerability Note
2	VU#344432	http://www.kb.cert.org/vuls/id/344432
関連文書
3	Eaglesoft 18 Security	http://justinshafer.blogspot.jp/2016/03/eaglesoft-18-security.html
4	Moving onto Eaglesoft aka Patterson Dental	http://justinshafer.blogspot.jp/2016/02/moving-onto-eaglesoft-aka-patterson.html

Change Log

No	Changed Details	Date of change
0	[2016年04月01日] 掲載 [2016年04月05日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-2343) を追加	Feb. 17, 2018, 10:37 a.m.