脆弱性情報 脆弱性概要 脆弱性名称: Cisco Emergency Responder Web Framework 任意ファイルアップロード脆弱性 重大度: Medium(中) CVE番号: CVE-2015-6407 CWE番号: CWE-20 公告ID: cisco-sa-20151209-erw 初回公開日: 2015年12月10日 07:30 GMT 脆弱性ステータス: Final Cisco Bug ID: CSCuv25501 CVSSスコア: Base 4.0, Temporal 3.3 脆弱性情報 詳細: Cisco Emergency Responder (CER) のWebフレームワークに脆弱性が存在し、認証されていないリモート攻撃者が、ファイルシステムの制限された位置へ任意のファイルをアップロードできる可能性がある。 原因: パラメータ検証の不足。 攻撃方法: 攻撃者はサーバーへ意図的に構築されたリクエストを送信することでこの脆弱性を悪用し、影響を受けるデバイス上の任意の場所に任意のファイルをアップロードすることができる。 影響を受ける製品 影響製品: Cisco Emergency Responder Release 10.5(3.10000.9) 影響を受けない製品: この脆弱性の影響を受ける他のCisco製品は現時点で確認されていない。 解決策 修正ソフトウェア: Ciscoは本脆弱性を修正するためのソフトウェアアップデートをリリースしている。 注意事項: 顧客はソフトウェアのアップグレードを検討する際、Ciscoセキュリティ advisoryおよびインシデント対応アーカイブを参照することを推奨する。 その他情報 ワークアラウンド: 利用可能なワークアラウンドはない。 公開利用および公告: Cisco Product Security Incident Response Team (PSIRT) は、本脆弱性に関する公開公告や悪意ある使用に関する報告を未確認である。 関連リンク: Cisco Security Advisory