Pyxis MedStation ES System v1.6.1 Pyxis Anesthesia (PAS) ES System v1.6.1 該当製品は、端末の利用可能な機能を制限するため、キオスクモードとよばれる実装方法を採用しています。当該製品に物理アクセス可能な環境から細工した入力を行うことで、このキオスクモードをパイパスすることができます (CWE-693) 。その結果、機微な情報の表示や変更ができる可能性があります。

HiOS および HiSecOS は産業用ルータ向け OS です。これらを搭載した製品の Web サーバにはバッファオーバーフローの脆弱性 (CWE-120) があります。 HiOS バージョン 07.0.02 およびそれ以前を使用している次の製品 RSP, RSPE, RSPS, RSPL, MSP, EES, EES, EESX, GRS, OS, RED HiSecOS バージョン 03.2.00 およびそれ以前を使用している次の製品 EAGLE20, EAGLE30 Hirschmann (Belden 社傘下) が提供する HiOS および HiSecOS を搭載した製品の Web サーバには、バッファオーバーフローの脆弱性 (CWE-120) が存在します。この脆弱性は、URL パラメータの不適切な処理に起因しており、認証されていない遠隔の攻撃者が、細工した HTTP リクエス

JVNVU#91553662 三菱電機製 MELSEC シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性 三菱電機株式会社が提供する複数の MELSEC シリーズの MELSOFT 交信ポート (UDP/IP) には、リソース枯渇の脆弱性 (CWE-400) が存在します。 以下の MELSEC シリーズ製品において、Ethernet ポートに MELSOFT 交信ポート (UDP/IP) を持つユニット MELSEC iQ-R シリーズ MELSEC iQ-F シリーズ MELSEC Q シリーズ MELSEC L シリーズ MELSEC F シリーズ 三菱電機株式会社が提供する MELSEC iQ-R，iQ-F，Q，L，F シリーズの MELSOFT 交信ポート (UDP/IP) には、リソース枯渇の脆弱性 (CWE-400) が存在します。MELSOFT 交信ポート

トヨタ⾃動⾞製 DCU (ディスプレイコントロールユニット) には、BlueBorne の脆弱性に起因する脆弱性が存在します。 次の該当地域および期間に製造された車両に搭載されている 2017年製 DCU 車種: LC、LS、NX、RC、RC-F、CAMRY、SIENNA 期間: 2016年10月から2019年10月 地域: 日本以外の全地域 詳しくは、【ベンダ情報】をご確認ください。

macOS Catalina 10.15.4 より前のバージョン macOS Mojave 10.14.6 (Security Update 2020-002 未適用) macOS High Sierra 10.13.6 (Security Update 2020-002 未適用) tvOS 13.4 より前のバージョン iOS 13.4 より前のバージョン iPadOS 13.4 より前のバージョン watchOS 6.2 より前のバージョン Safari 13.1 より前のバージョン iTunes 12.10.5 for Windows より前のバージョン Xcode 11.4 より前のバージョン iCloud for Windows 10.9.3 より前のバージョン iCloud for Windows 7.18 より前のバージョン

WonderLink が提供する WL-Enq (WEB アンケート) は、WEB アンケート機能を提供する CGI です。 WL-Enq (WEB アンケート) には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。 この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - メールでの連絡 (2014/09/12～2016/06/09

この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - メールでの連絡 (2014/08/29～2019/09/19：6回) に対して応答が無い - Web フォームでの連絡 (2014/11/25～2015/03/31：3回) に対して応答が無い - 「連絡不能開発者一覧（開発者名）」の連絡よびかけ (2015/09/18) に対して応答が無い - 「連絡

この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - メールでの連絡 (2006/02/20～2019/09/24：6回) に対して応答が無い - 「連絡不能開発者一覧（開発者名）」の連絡よびかけ (2012/06/22) に対して応答が無い - 「連絡不能開発者一覧（補足情報）」の情報提供依頼 (2012/09/27) に対して応答が無い - メールでの

開発者：EKAKIN 届出のあったソフトウエア製品名およびバージョン：私本管理 Plus GOOUT Ver1.5.8 および Ver2.2.10 EKAKIN が提供する私本管理 Plus GOOUT は、私本管理 Plus のデータを外出先でも閲覧できるようにする CGI です。 私本管理 Plus GOOUT には、入力パラメータのチェック不備に起因した、任意のファイルに対するアクセス (読み込みおよび書き込み) が可能な次の脆弱性が存在します。 ディレクトリトラバーサル (CWE-22) - CVE-2020-5554 任意のファイルを操作される脆弱性 (CWE-20) - CVE-2020-5555 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 遠隔の第三者によって、当該製品が設置されているウェブサーバ上の任意のファイルに対して、読み込みお

この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - 製品開発者の連絡先が不明のため、製品の配布がおこなわれていた Vector に対し製品開発者の連絡先等について問合せをしたところ、Vector からも製品開発者に連絡がつかない状況であることが判明 (2015/09/28)。 - 「連絡不能開発者一覧（開発者名）」の連絡よびかけ (2016/03/25)

この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - メールでの連絡 (2014/08/29～2019/09/19：6回) に対して応答が無い - Web フォームでの連絡 (2014/11/25～2015/03/31：3回) に対して応答が無い - 「連絡不能開発者一覧（開発者名）」の連絡よびかけ (2015/09/18) に対して応答が無い - 「連絡

この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - メールでの連絡 (2011/10/24～2013/06/18：4回) に対して応答が無い - 「連絡不能開発者一覧（開発者名）」の連絡よびかけ (2013/09/27) に対して応答が無い - 「連絡不能開発者一覧（補足情報）」の情報提供依頼 (2013/12/13) に対して応答が無い - メールでの

WonderLink が提供する WL-Enq (WEB アンケート) は、WEB アンケート機能を提供する CGI です。 WL-Enq (WEB アンケート) には、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - メールでの連絡 (2014/09/12～2016/06/09：

携帯サイトnet が提供するメールフォームは、ウェブサイトにメールフォーム機能を提供する PHP スクリプトです。 メールフォームには、管理画面にログインした管理者のウェブブラウザ上で、意図しないスクリプトが実行される格納型クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 この案件は、2020年1月16日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。 - 製品開発

勾配降下法を用いて学習させたモデルを用いた分類を行う場合に、任意の分類結果が得られるような入力を意図的に作成することが可能です。これは、Kumar et al. による攻撃分類では、perturbation attacks や adversarial examples in the physical domain に該当します。 攻撃対象のシステムに対して、攻撃者がデータの入力や出力の確認などを行うことができる余地が大きいほど、攻撃が成功する可能性は大きくなります。 また、学習プロセスに関する情報（教師データ、学習結果、学習モデル、テストデータなど）があれば、攻撃はより容易に行えるようになります。 現状では、数秒で攻撃できるものから何週間も必要になるものまで様々な事例が知られています。 本件はアルゴリズムの脆弱性であり、攻撃対象となるシステムにおいて機械学習の仕組みがどのように使われている

Microsoft SMBv3 には、圧縮を用いた接続処理に起因するリモートコード実行の脆弱性が存在します。 Windows 10 Version 1903 Windows 10 Version 1909 Windows Server, version 1903 Windows Server, version 1909 詳細は、開発者が提供する情報をご確認ください。 Microsoft Server Message Block 3.1.1（SMBv3）プロトコルには、圧縮を用いた接続処理に脆弱性が存在します。細工したパケットをターゲットの SMBv3 サーバに送信したり、細工した SMBv3 サーバを構築して SMBv3 クライアントからアクセスさせたりすることで、リモートから任意のコードを実行できる可能性があります。

JVNとは何ですか？ JVN は、"Japan Vulnerability Notes" の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。 JVNに掲載されている情報 JVN では、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表しています。掲載内容は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリ