プラットフォーム
other
コンポーネント
p5-fnip
修正版
1.0.21
CVE-2020-37118は、P5 FNIP-8x16A FNIP-4xSH 1.0.20に存在するクロスサイトリクエストフォージェリ(XSRF)脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みユーザーを騙して、管理者権限でシステム設定を変更するなど、不正な操作を実行できる可能性があります。影響を受けるバージョンは1.0.20です。ベンダーは修正版のリリースを推奨しています。
このXSRF脆弱性は、攻撃者が認証済みユーザーを騙すことで、管理者権限を悪用する可能性を秘めています。攻撃者は、巧妙に作成されたウェブページをユーザーにアクセスさせ、そのユーザーが認証されていることを利用して、管理者権限でシステム設定を変更したり、新しい管理者アカウントを作成したりすることが可能です。これにより、システム全体のセキュリティが損なわれ、機密情報の漏洩や不正な操作による損害が発生する可能性があります。この脆弱性は、ユーザーの操作を偽装するため、攻撃者はユーザーに直接接触する必要がなく、広範囲に影響を及ぼす可能性があります。
CVE-2020-37118は、2026年2月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSRFは比較的容易に悪用できる脆弱性であるため、注意が必要です。CISA KEVリストには登録されていません。公開されているPoCは確認されていません。
Organizations utilizing P5 FNIP-8x16A FNIP-4xSH devices running version 1.0.20 are at risk. This includes deployments where administrative access is web-based and user authentication practices are not sufficiently robust to prevent XSRF attacks. Environments with shared hosting or where user accounts have broad administrative privileges are particularly vulnerable.
disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
P5 FNIP-8x16A FNIP-4xSHのバージョンを1.0.20より新しい修正版に更新することが最も効果的な対策です。もし、すぐに更新できない場合は、XSRF対策として、すべての重要な管理操作に二段階認証を導入することを検討してください。また、ウェブアプリケーションファイアウォール(WAF)を導入し、XSRF攻撃を検知・防御するルールを設定することも有効です。さらに、ユーザーに不審なウェブサイトへのアクセスを警告し、セキュリティ意識の向上を図ることが重要です。更新後、システム設定が正常に機能していることを確認してください。
FNIP-8x16A FNIP-4xSH デバイスを、このクロスサイトリクエストフォージェリ (CSRF) の脆弱性を修正する修正バージョンにアップデートしてください。具体的なアップデート手順と利用可能なバージョンについては、P5ベンダーのドキュメントを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2020-37118は、P5 FNIP-8x16A FNIP-4xSH 1.0.20に存在するクロスサイトリクエストフォージェリ(XSRF)脆弱性であり、攻撃者が認証済みユーザーを騙して不正な操作を実行できる可能性があります。
P5 FNIP-8x16A FNIP-4xSHのバージョンが1.0.20である場合は、この脆弱性の影響を受けています。バージョンを更新することで対策できます。
P5 FNIP-8x16A FNIP-4xSHのバージョンを1.0.20より新しい修正版に更新してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSRFは比較的容易に悪用できる脆弱性であるため、注意が必要です。
P5の公式ウェブサイトまたはサポートチャネルでアドバイザリをご確認ください。