概要
elecV2P の /mock エンドポイントにおいて、eAxios 関数に URL Handler 経由のサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。リモートからの悪用が可能で、ベンダーからの応答はありません。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.3(High) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低 |
| ユーザー関与 | 不要 |
| CWE | CWE-918(サーバーサイドリクエストフォージェリ) |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| elecV2P | 3.8.3 以前 | 未提供 |
修正バージョンと回避策
- ベンダーからの修正は未提供です
- /mockエンドポイントへのアクセスを制限することを推奨
- 内部ネットワークへのリクエストをファイアウォールで制限
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。