GL-iNet製ルータに複数の深刻なRCE脆弱性 - 早急に更新を
GL-iNetが提供するルータに複数の脆弱性が明らかとなった。影響が大きく、早急にアップデートを実施するよう呼びかけている。
同社では、「OpenWrt」を搭載した小型モデルをはじめとするルータやIoTゲートウェイ製品などを展開。日本をはじめ、40以上の国で販売されており、一部モデルは1年間に数十万台規模で販売しているとしている。
同社は8月1日にセキュリティアドバイザリを公開し、28モデルが影響を受ける脆弱性6件について明らかにした。「OpenWrt」に起因する脆弱性は含まれていない。
特にSIDブルートフォースが可能となる「CVE-2024-39225」、入力検証の不備「CVE-2024-39226」、認証の欠如とパストラバーサル「CVE-2024-39227」、「ovpn api」におけるシェルインジェクションの脆弱性「CVE-2024-39228」の4件についてはリモートより認証なしにコードを実行されるおそれがある。
4件いずれも米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)における共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
(Security NEXT - 2024/08/13 )
ツイート
PR
関連記事
イベント説明会の申込フォームで設定ミス - えどがわボランティアセンター
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
登録セキスペ試験、2026年度からCBT方式に移行
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起