「Cisco Small Business WAP」に2件の脆弱性 - 一部製品はEOLで修正プログラムなし

「Cisco Small Business 100シリーズ Wireless Access Points」「同300」「同500」に2件の脆弱性が明らかとなった。一部製品はサポートが終了しており、アップデートの提供がなく、サポート中の製品へ以降するよう呼びかけられている。

管理インターフェイスにおいてアクセス制御不備により、認証なしにリモートよりアクセスされ、情報が漏洩するおそれがある「CVE-2021-1400」や、管理者権限が必要となるが、コマンドインジェクションの脆弱性「CVE-2021-1401」が明らかとなったもの。

共通脆弱性評価システム「CVSSv3.0」のベーススコアは、「CVE-2021-1400」が「8.8」、「CVE-2021-1401」が「5.5」で、重要度はそれぞれ「高（High）」「中（Medium）」と評価されている。

具体的には、「WAP351 Wireless-N Dual Radio Access Point」「WAP361 Wireless-AC/N Dual Radio Wall Plate Access Point」「WAP581 Wireless-AC Dual Radio Wave 2 Access Point」「WAP150 Wireless-AC/N Dual Radio Access Point」「WAP131 Wireless-N Dual Radio Access Point」「WAP125 Wireless-AC Dual Band Desktop Access Point」が影響を受ける。

これら脆弱性は、ラックの今井志有人氏が情報処理推進機構（IPA）へ報告し、JPCERTコーディネーションセンターが調整を実施した。Cisco Systemsでは、「WAP581」「WAP361」「WAP150」「WAP125」向けにアップデートを用意。一方「WAP131」「WAP351」については、2019年以前にサポートが終了しており、アップデートのリリース予定はなく、サポート中の製品へ以降するよう求めている。

（Security NEXT - 2021/05/17 ） ツイート

PR

関連記事

患者情報含む医師私物PCが所在不明 - 順天堂大付属練馬病院
包装資材通販サイトの侵害、決済アプリ改ざんで個人情報流出の可能性
物価高騰対策のゴミ収集袋送付で不備、ラベル二重貼付 - 青梅市
海外法人が昨年末にランサム被害、年明け後判明 - 新光商事
都スタートアップ支援拠点のサイトが改ざん - 影響など詳細を調査
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
ファンクラブ会員メールに他人氏名、事務局ミスで - 大阪ブルテオン