JVN#29739718
Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP における複数の脆弱性

Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP には、複数の脆弱性が存在します。

• Aterm WF1200CR ファームウェア Ver1.3.2 およびそれ以前
• Aterm WG1200CR ファームウェア Ver1.3.3 およびそれ以前
• Aterm WG2600HS ファームウェア Ver1.5.1 およびそれ以前
• Aterm WX3000HP ファームウェア Ver1.1.2 およびそれ以前

日本電気株式会社が提供する Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP には、複数の脆弱性が存在します。

Aterm WF1200CR、Aterm WG1200CR および Aterm WG2600HS

• OS コマンドインジェクション (CWE-78) - CVE-2021-20708

  CVSS v3	CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	基本値: 6.8
  CVSS v2	AV:A/AC:L/Au:S/C:P/I:P/A:P	基本値: 5.2

• ダウンロードしたファイルの完全性検証不備 (CWE-354) - CVE-2021-20709

  CVSS v3	CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	基本値: 6.8
  CVSS v2	AV:A/AC:L/Au:S/C:P/I:P/A:P	基本値: 5.2

• クロスサイトスクリプティング (CWE-79) - CVE-2021-20710

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• OS コマンドインジェクション (CWE-78) - CVE-2021-20711

  CVSS v3	CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/	基本値: 8.8
  CVSS v2	AV:A/AC:L/Au:N/C:C/I:C/A:C	基本値: 8.3

• アクセス制限不備 (CWE-284) - CVE-2021-20712

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N	基本値: 5.3
  CVSS v2	AV:N/AC:L/Au:N/C:P/I:N/A:N	基本値: 5.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品の管理ページにログインしている状態で、特定の URL に対して細工されたリクエストを送信することで任意のコマンドを実行される - CVE-2021-20708
• 当該製品の管理ページにログインしている状態で、細工された設定ファイルを読み込ませることで任意のコマンドを実行される  - CVE-2021-20709
• 当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-20710
• 当該製品の管理ページにアクセスした攻撃者によって、任意のコマンドを実行される - CVE-2021-20711
• IPv6 ファイアウォールの機能に不具合があり、LAN 側に接続された機器が WAN などの外部ネットワーク上からアクセスされる - CVE-2021-20712

アップデートする
開発者が提供する情報をもとにファームウェアを最新版へアップデートしてください。