エレコム製の複数ルーターに脆弱性 - 開発画面よりコマンド実行が可能に
エレコム製の複数ルーターに脆弱性が明らかとなった。アップデートが呼びかけられている。
「WRH-300WH3」「WRH-300WH3-S」「WRH-300BK3」「WRH-300BK3-S」「WRH-300DR3-S」「WRH-300LB3-S」「WRH-300PN3-S」「WRH-300YG3-S」の8機種において、ドキュメントなどに記載のない「開発画面」が存在。LAN側よりアクセスすることで任意のOSコマンドを実行される脆弱性「CVE-2022-21173」が判明した。
また「WRC-300FEBK-R」では、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2022-21799」が明らかとなっている。
共通脆弱性評価システム「CVSSv3.0」のベーススコアを見ると、「CVE-2022-21173」が「8.8」、「CVE-2022-21799」が「5.2」とレーティングされている。
「CVE-2022-21173」は、三井物産セキュアディレクションの米山俊嗣氏、「CVE-2022-21799」はRyotaK氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。
エレコムでは、脆弱性を修正したファームウェアを用意。利用者へアップデートを実施するよう呼びかけている。
(Security NEXT - 2022/02/09 )
ツイート
PR
関連記事
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
「Android Framework」のゼロデイ脆弱性に注意喚起 - 米当局
「Unbound」のDNSキャッシュ汚染脆弱性 - 追加対策版が公開
「Android」に月例パッチ、脆弱性107件に対応 - 2件ですでに悪用も
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
マルウェア対策製品「Avast Antivirus」に権限昇格の脆弱性
脅威情報共有基盤「MISP」がアップデート - 2件の脆弱性を修正
「Apache Struts」にDoS脆弱性 - ディスク領域枯渇のおそれ
組織向けコラボツール「Mattermost」に脆弱性 - 「クリティカル」も
SWITCHBOT製テレビドアホンに脆弱性 - 親子機の更新を
