SerVision、HVG Video Gatewayウェブインターフェースに複数の脆弱性を確認
SerVisionのHVG Video Gatewayウェブインターフェースに認証回避、不適切なアクセス制御、パスワードのハードコードの脆弱性が確認された。影響を受けるのは認証回避がHVG Video Gateway ファームウェアバージョン 2.2.26a78以前、不適切なアクセス制御がHVG Video Gatewayファームウェアバージョン2.2.26a100以前、パスワードのハードコードがファームウェアバージョン2.2.26a100以前で、認証回避と不適切なアクセス制御はtime.htmへのアクセスにより、Servision HVGのウェブインターフェースの管理者権限取得のCookieを入手でき、認証バイパスや権限昇格が可能になる。また、HVG Video Gatewayはパスワードハードコートにより管理者権限でウェブインターフェイスにログインが可能になる。これらの脆弱性により遠隔から犯罪者がデバイスへの管理者権限を取得される恐れがある。解決策として、ファームウェアバージョン2.2.26a100へのアップグレードによりこの脆弱性は解消されるが、権限昇格の問題についてはまだ修正されていない。回避策として、信頼されたホストとネットワークのみにアクセス制限することによりこの脆弱性を軽減できる。
