パスワードの平文保存など、バッファロー製一部ルーターに脆弱性。ファーム更新を

WSR-2533DHP

　JVN(Japan Vulnerability Notes)が15日に公開した情報によると、バッファロー製無線ルーターの一部モデルに複数の脆弱性があるとした。バッファローでは対策ファームウェアを配布しており、適用すれば問題を解決できる。

　脆弱性のうちの1つがパスワードの平文保存で、ログイン画面にアクセスできる攻撃者によって、設定済みの認証情報が窃取される可能性があるというもの(共通脆弱性識別子CVE-2024-23486)。以下の4モデルとファームウェアが該当する。

• WSR-2533DHP ファームウェア Ver. 1.06およびそれ以前
• WSR-2533DHPL ファームウェア Ver. 1.06およびそれ以前
• WSR-2533DHP2 ファームウェア Ver. 1.10およびそれ以前
• WSR-A2533DHP2 ファームウェア Ver. 1.10およびそれ以前

　このうち「WSR-2533DHP」および「WSR-2533DHPL」はファームウェアをVer.1.07以降、「WSR-2533DHP2」および「WSR-A2533DHP2」はファームウェアをVer.1.11以降に更新することで解決できる。

　もう1つの脆弱性はOSコマンドインジェクションで、ログイン可能な攻撃者によって、任意のOSコマンドを実行されるというもの(CVE-2024-26023)。上記4モデルに加え、以下の3モデルも対象となる。

• WCR-1166DS ファームウェア Ver. 1.32およびそれ以前
• WSR-1166DHP ファームウェア Ver. 1.14およびそれ以前
• WSR-1166DHP2 ファームウェア Ver. 1.14およびそれ以前

　「WCR-1166DS」はファームウェアVer.1.33以降、「WSR-1166DHP」および「WSR-1166DHP2」はファームウェアVer.1.15以降を適用することで解決する。