ニュース
バッファローの無線ルーター/中継機にOSコマンドインジェクションの脆弱性。更新で対処
2022年12月9日 14:15
株式会社バッファローは5日、Wi-Fiルーターや中継機の一部モデルに、OSコマンドインジェクション、およびドキュメント化されていないデバッグ機能が有効化されるといった脆弱性があることを発表した。対策ファームウェアの更新の配布で対処する。
いずれの脆弱性も、管理画面にログイン可能な第三者によって攻撃可能なものとなっている。詳細および対象機種、対処済みファームウェアバージョンは下記の通り。
- CVE-2022-43466:OSコマンドインジェクション(CWE-78)。特定のCGIプログラムへ細工されたリクエストを送信されると、特定の管理画面を開いたときに任意のコマンドが実行される
- CVE-2022-43443:OSコマンドインジェクション(CWE-78)。管理画面に細工されたリクエストを送信されると、任意のコマンドが実行される
- CVE-2022-43486:ドキュメント化されていないデバッグ機能を有効化される問題(CWE-912)。デバッグ機能が不正に有効化され任意のコマンドが実行される
| 製品カテゴリ | 商品名 | CVE-2022-43466 | CVE-2022-43443 | CVE-2022-43486 | 対策ファームウェア |
|---|---|---|---|---|---|
| Wi-Fiルーター | WSR-3200AX4S | 該当 | 該当 | 該当 | Ver. 1.30 |
| WSR-3200AX4B | 該当 | 該当 | 該当 | Ver. 1.30 | |
| WSR-2533DHP | - | 該当 | 該当 | Ver. 1.09 | |
| WSR-2533DHP2 | 該当 | 該当 | 該当 | Ver. 1.23 | |
| WSR-A2533DHP2 | 該当 | 該当 | 該当 | Ver. 1.23 | |
| WSR-2533DHP3 | 該当 | 該当 | 該当 | Ver. 1.27 | |
| WSR-A2533DHP3 | 該当 | 該当 | 該当 | Ver. 1.27 | |
| WSR-2533DHPL | - | 該当 | 該当 | Ver. 1.09 | |
| WSR-2533DHPL2 | 該当 | 該当 | 該当 | Ver. 1.04 | |
| WSR-2533DHPLS | 該当 | 該当 | 該当 | Ver. 1.10 | |
| WCR-1166DS | - | 該当 | 該当 | Ver. 1.35 | |
| Wi-Fi中継機 | WEX-1800AX4 | 該当 | - | 該当 | Ver. 1.14 |
| WEX-1800AX4EA | 該当 | - | 該当 | Ver. 1.14 |