バッファロー製Wi-Fi ルーターで複数の脆弱性(JVN#58236836)
バッファロー製Wi-Fi ルーターで複数の脆弱性が発生しています。CVE-2024-23486、CVE-2024-26023)
脆弱性が発生している商品名とバージョン
| 商品カテゴリー | 商品名 | 脆弱性① | 脆弱性② | 対策ファームウェア |
|---|---|---|---|---|
| Wi-Fiルーター | WCR-1166DS | 該当 | Ver. 1.33以降 ・Windows用 ・Mac用 | |
| WSR-1166DHP | 該当 | Ver. 1.15以降 ・Windows用 ・Mac用 | ||
| WSR-1166DHP2 | 該当 | Ver. 1.15以降 ・Windows用 ・Mac用 | ||
| WSR-2533DHP | 該当 | 該当 | Ver. 1.07以降 ・Windows用 ・Mac用 | |
| WSR-2533DHPL | 該当 | 該当 | Ver. 1.07以降 ・Windows用 ・Mac用 | |
| WSR-2533DHP2 | 該当 | 該当 | Ver. 1.11以降 ・Windows用 ・Mac用 | |
| WSR-A2533DHP2 | 該当 | 該当 | Ver. 1.11以降 ・Windows用 ・Mac用 |
想定される脆弱性
- 製品のログイン画面にアクセスできる攻撃者によって、設定済みの認証情報を窃取される(CVE-2024-23486)
- 製品にログイン可能な攻撃者によって、任意のOSコマンドを実行される(CVE-2024-26023)
「Internet側リモートアクセス設定を許可する」設定を有効にしている場合は、インターネット側から攻撃を実行される可能性がありますので設定確認が必要です。
対策
該当商品の脆弱性を対策したファームウェアをダウンロードして、アップデートの実施
公式リリース
一部Wi-Fiルーター商品における複数の脆弱性とその対処方法(JVN#58236836)
関連記事
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
Microsoftがゼロデイ脆弱性や複数の脆弱性を修正(CVE-2024-30051,CVE-2024-30046,CVE-2024-30040)
WordPress用プラグイン「Forminator」で複数の脆弱性が発生
WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000)
MoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表
ファイル転送サーバ「CrushFTP」でゼロデイ攻撃の可能性 早急にパッチ適用を(CVE-2024-4040)