このウェブページのスクリューショットから、以下の脆弱性に関する重要な情報を取得できます: 1. 脆弱性番号:#421292 2. 脆弱性名称:Topdata Top Data Inner Rep Plus Web Server v.2.01 におけるパスワードフィールドのマスク欠落 3. 脆弱性説明: - タイトル:Top Data Inner Rep Plus におけるパスワードフィールドのマスク欠落 - 説明:Top Data Inner Rep Plus - Web Server v.2.01 において、「パスワードフィールドのマスク欠落」という脆弱性が確認されました。この脆弱性により、ユーザーはオペレータのパスワードを参照することが可能です。 - 詳細説明:TopData の「Top Data Inner Rep Plus」は生体認証勤怠管理端末です。この製品は、Web Server v.2.01 版において脆弱性を有する Web サービスを使用しています。ユーザーが「admin」身份でログインすると、オペレータ一覧を表示できます。Burp Suite を使用してこのリクエストを検査すると、アプリケーションはオペレータ一覧とその認証情報を暗号化形式で応答していることが確認できます。ただし、管理者ユーザーがブラウザを通じてオペレータ情報を参照する際、パスワードフィールドにマスク処理が施されていないため、パスワードが平文で表示されます。オペレータ情報は暗号化されて転送されているため、アプリケーションがブラウザ上で平文のパスワードを表示する理由はありません。 - 影響:悪意のある攻撃者は、オペレータユーザーとして任意の操作を実行できるようになります。 4. 対象製品:TopData Top Data Inner Rep Plus - Web Server v.2.01 5. 報告時刻:2024年10月10日 01:16 AM 6. ステータス:承認済み 7. VulDB 登録番号:280914 8. 報告者:匿名ユーザー 9. 報告時刻:2024年10月10日 01:16 AM 10. 審査時刻:2024年10月18日 02:12 PM 11. リンク:https://www.topdata.com.br/relogio-de-ponto-biometrico/