アイ・オー・データ製ルーターのUD-LT1とUD-LT1/EXで3つの重大な脆弱性(CVE-2024-45841,CVE-2024-47133,CVE-2024-52564)
IOデータ(アイ・オー・データ)のルーターのUD-LT1とUD-LT1/EXで3つの重大な脆弱性(CVE-2024-45841,CVE-2024-47133,CVE-2024-52564)が発生しています。早急にアップデートする事をお勧めします。
目次
影響を受けるシステム
- UD-LT1: ファームウェア Ver.2.1.8 およびそれ以前
- UD-LT1/EX: ファームウェア Ver.2.1.8 およびそれ以前
修正バージョン
- CVE-2024-45841 & CVE-2024-47133: ファームウェアの更新は2024年12月18日頃にリリース予定。
- CVE-2024-52564: 修正版は既にリリース済み(ファームウェア Ver.2.1.9)。
1. 不適切なアクセス権限付加(CWE-732)
- CVE-2024-45841
- 影響: Guestアカウントを知る第三者が特定のファイルにアクセスし、認証情報を含むデータを窃取される。
- CVSSスコア: 6.5 (中程度)
2. OSコマンドインジェクション(CWE-78)
- CVE-2024-47133
- 影響: 管理者アカウントでログイン可能な第三者が、任意のOSコマンドを実行可能。
- CVSSスコア: 7.2 (高い)
3. ドキュメント化されていない機能(CWE-1242)
- CVE-2024-52564
- 影響: 遠隔の第三者がファイアウォールを無効化し、機器設定変更やOSコマンドの実行を可能にする。
- CVSSスコア: 7.5 (高い)