概要
WebカメラとIPカメラの監視システムmotionEyeにおいて、パスワードのハッシュ値を直接使用して認証を通過できる設計上の問題があります。ハッシュ値を入手した攻撃者が、平文パスワードを知らずに認証をバイパスできる可能性があります。
motionEyeはRaspberry Piなどに導入してWebカメラを管理するシステムとして広く使われており、インターネットに直接公開されているインスタンスが存在する場合、影響が大きくなります。
CVSSベクトル
GHSA評価: Critical(数値スコアは非公開)。パスワードハッシュの入手を前提とした場合でも認証バイパスが可能。
| 項目 | 内容 |
|---|---|
| 攻撃経路 (AV) | ネットワーク (N) |
| 攻撃複雑度 (AC) | 低 (L) |
| 必要権限 (PR) | 不要 (N) |
| ユーザ操作 (UI) | 不要 (N) |
| 機密性への影響 (C) | 高 (H) — カメラ映像への不正アクセス |
| 完全性への影響 (I) | 高 (H) |
| 可用性への影響 (A) | 高 (H) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| motioneye | motioneye-project | < 0.44.0 |
修正バージョンと対応方法
修正バージョン: motioneye 0.44.0
- 現在使用しているmotionEyeのバージョンを確認する(v0.44.0未満であれば影響を受ける)
- motioneye v0.44.0以降にアップデートする(
pip install motioneye --upgrade) - インターネット公開環境では、VPN経由や認証プロキシ経由のアクセスに限定することを検討する
- アップデート後もパスワードを変更することを推奨する
関連リンク
データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。