【重要】『ソリューションパックサービス』ご提供機器の脆弱性情報のお知らせ

2024年12月9日掲載

お客さま各位

平素は弊社サービスをご利用いただき誠にありがとうございます。

この度『ソリューションパックサービス』でご提供中の機器につきまして、脆弱性に関する情報が発表されましたので、
下記のとおりご案内いたします。

ソリューションパック（機器名：UNIVERGE IXシリーズ）

この度、NECグループより、UNIVERGE IXシリーズにおける、コマンドインジェクションおよびクロスサイトリクエストフォージェリの
脆弱性が発表されました。

■想定される影響
・コマンドインジェクションによる影響
　当該製品の管理画面にログインしているユーザーが細工されたWeb GUIメッセージを送信した場合、
　当該製品上で任意のCLIコマンドが実行される（CVE-2024-11013）

・クロスサイトリクエストフォージェリによる影響
　当該製品の管理画面にログインしているユーザーが細工されたリンクにアクセスした場合、
　当該製品の管理画面上で意図しない画面が表示される（CVE-2024-11014）

■回避方法
以下のいずれかの方法で回避できるものとされています。
・下記脆弱性対処版ソフトウェアへバージョンアップする。
　Ver.10.8.33、Ver.10.9.20、Ver.10.10.27
・Web GUIを無効にする。

本脆弱性は、Web GUIでログインしている状態におけるものであり、弊社ソリューションパックサービスでは、
Web GUIを無効化しているため、影響はありません。
バージョンアップをご要望の場合は、有償にて承りますので、弊社までご連絡をお願いいたします。

お問い合わせ先

ビジネスインフォメーションデスク

通話料無料：0120-944-345（携帯電話からもご利用いただけます）

受付時間／9:00～17:00（土・日・祝日・12/29～1/3・5/1を除く）

※電話番号をよくお確かめの上、お間違いのないようおかけください。