小規模向けの一部Cisco製ルータに深刻な脆弱性 - 更新予定なく利用中止を

またウェブ管理インタフェースにリモートよりコードを実行したり、コマンドを挿入でき、「CVSSv3.1」のベーススコアが「7.2」、重要度が「高（High）」とレーティングされた脆弱性65件も判明した。

ウェブ管理インタフェースは、デフォルトでLANからのアクセスに限定されており、悪用には管理者権限も必要となるが、リモートでコードを実行されるおそれがある。

あわせてウェブ管理インタフェースにクロスサイトスクリプティング（XSS）の脆弱性8件も明らかとなった。「CVSSv3.1」のベーススコアは「4.8」、重要度は「中（Medium）」。

各機器ともにハードウェアの保守期間中であるものの、いずれもソフトウェアのメンテナンス期間は終了している。脆弱性を修正するアップデートの提供予定はなく、緩和策などもない。同社では各製品の利用を中止し、サポートが提供されている製品へ移行するよう呼びかけている。

今回判明した脆弱性は以下のとおり。

CVE-2021-1146
CVE-2021-1147
CVE-2021-1148
CVE-2021-1149
CVE-2021-1150
CVE-2021-1151
CVE-2021-1152
CVE-2021-1153
CVE-2021-1154
CVE-2021-1155
CVE-2021-1156
CVE-2021-1157
CVE-2021-1158
CVE-2021-1159
CVE-2021-1160
CVE-2021-1161
CVE-2021-1162
CVE-2021-1163
CVE-2021-1164
CVE-2021-1165
CVE-2021-1166
CVE-2021-1167
CVE-2021-1168
CVE-2021-1169
CVE-2021-1170
CVE-2021-1171
CVE-2021-1172
CVE-2021-1173
CVE-2021-1174
CVE-2021-1175
CVE-2021-1176
CVE-2021-1177
CVE-2021-1178
CVE-2021-1179
CVE-2021-1180
CVE-2021-1181
CVE-2021-1182
CVE-2021-1183
CVE-2021-1184
CVE-2021-1185
CVE-2021-1186
CVE-2021-1187
CVE-2021-1188
CVE-2021-1189
CVE-2021-1190
CVE-2021-1191
CVE-2021-1192
CVE-2021-1193
CVE-2021-1194
CVE-2021-1195
CVE-2021-1196
CVE-2021-1197
CVE-2021-1198
CVE-2021-1199
CVE-2021-1200
CVE-2021-1201
CVE-2021-1202
CVE-2021-1203
CVE-2021-1204
CVE-2021-1205
CVE-2021-1206
CVE-2021-1207
CVE-2021-1208
CVE-2021-1209
CVE-2021-1210
CVE-2021-1211
CVE-2021-1212
CVE-2021-1213
CVE-2021-1214
CVE-2021-1215
CVE-2021-1216
CVE-2021-1217
CVE-2021-1307
CVE-2021-1360

（Security NEXT - 2021/01/20 ） ツイート

PR

関連記事

「Chrome 149」がリリース - セキュリティ情報は近日公開
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
「Zoho Mail for WordPress」にCSRF脆弱性 - 設定改ざんのおそれ
「Android」に月例セキュリティ更新、脆弱性122件を修正 - 悪用の兆候も
「Firefox」が複数の脆弱性を修正 - iOS版のアップデートも
「Ivanti Neurons for ITSM」に高リスク脆弱性 - 定例外パッチを公開
「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ
米当局、「Oracle WebLogic Server」既知脆弱性の悪用に警鐘