MAHO-PBX NetDevancerシリーズに複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は1月11日、MAHO-PBX NetDevancerシリーズにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の安里眞夢氏が報告を行っている。影響を受けるシステムは以下の通り。

MAHO-PBX NetDevancer Lite/Uni/Pro/Cloud Ver.1.11.00 より前のバージョン
MAHO-PBX NetDevancer VSG Lite/Uni Ver.1.11.00 より前のバージョン
MAHO-PBX NetDevancer MobileGate Home/Office Ver.1.11.00 より前のバージョン

　株式会社まほろば工房が提供する MAHO-PBX NetDevancerシリーズには、同製品の管理画面に次のような影響を受ける可能性がある複数の脆弱性が存在する。

・OS コマンドインジェクション（CVE-2023-22279）
→遠隔の第三者によって任意の OS コマンドを実行される

・OS コマンドインジェクション（CVE-2023-22280）
→当該製品の管理者権限を取得した攻撃者によって任意の OS コマンドを実行される

・クロスサイトリクエストフォージェリ（CVE-2023-22286）
→当該製品の管理画面にログインした状態のユーザが細工されたページにアクセスした場合、当該製品の設定を意図せず変更される

・反射型クロスサイトスクリプティング（CVE-2023-22296）
→当該製品を使用しているユーザのWebブラウザ上で任意のスクリプトを実行される

　JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。