「Cisco Small Business WAP」に2件の脆弱性 - 一部製品はEOLで修正プログラムなし
「Cisco Small Business 100シリーズ Wireless Access Points」「同300」「同500」に2件の脆弱性が明らかとなった。一部製品はサポートが終了しており、アップデートの提供がなく、サポート中の製品へ以降するよう呼びかけられている。
管理インターフェイスにおいてアクセス制御不備により、認証なしにリモートよりアクセスされ、情報が漏洩するおそれがある「CVE-2021-1400」や、管理者権限が必要となるが、コマンドインジェクションの脆弱性「CVE-2021-1401」が明らかとなったもの。
共通脆弱性評価システム「CVSSv3.0」のベーススコアは、「CVE-2021-1400」が「8.8」、「CVE-2021-1401」が「5.5」で、重要度はそれぞれ「高(High)」「中(Medium)」と評価されている。
具体的には、「WAP351 Wireless-N Dual Radio Access Point」「WAP361 Wireless-AC/N Dual Radio Wall Plate Access Point」「WAP581 Wireless-AC Dual Radio Wave 2 Access Point」「WAP150 Wireless-AC/N Dual Radio Access Point」「WAP131 Wireless-N Dual Radio Access Point」「WAP125 Wireless-AC Dual Band Desktop Access Point」が影響を受ける。
これら脆弱性は、ラックの今井志有人氏が情報処理推進機構(IPA)へ報告し、JPCERTコーディネーションセンターが調整を実施した。Cisco Systemsでは、「WAP581」「WAP361」「WAP150」「WAP125」向けにアップデートを用意。一方「WAP131」「WAP351」については、2019年以前にサポートが終了しており、アップデートのリリース予定はなく、サポート中の製品へ以降するよう求めている。
(Security NEXT - 2021/05/17 )
ツイート
関連リンク
PR
関連記事
「MS 365」に不正ログイン、個人情報流出の可能性 - 日経米子会社
開示文書の墨塗り個人情報、出力ミスで参照可能に - 北九州市
事業者宛てメールで複数の誤送信が判明 - 公共施設の管理運営会社
米当局、脆弱性3件の悪用を警告 - 「Ivanti EPMM」「PAN-OS」は緊急対応を
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
動作確認ページ残存、ボランティア登録者メアドが閲覧可能に - 名古屋市
複数脆弱性を修正した「Firefox 150.0.2」をリリース - Mozilla
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
暗号化通信ライブラリ「GnuTLS」に複数脆弱性 - アップデートで修正
