公開日:2023/06/27 最終更新日:2023/07/07
JVN#38343415
NEC Aterm シリーズにおける複数の脆弱性
日本電気株式会社が提供する Aterm シリーズには、複数の脆弱性が存在します。
以下の Aterm シリーズ製品のすべてのバージョンが本脆弱性の影響を受けます。
- WG2600HP2
- WG2600HP
- WG2200HP
- WG1800HP2
- WG1800HP
- WG1400HP
- WG600HP
- WG300HP
- WF300HP
- WR9500N
- WR9300N
- WR8750N
- WR8700N
- WR8600N
- WR8370N
- WR8175N
- WR8170N
日本電気株式会社が提供する Aterm シリーズには、次の複数の脆弱性が存在します。
- ディレクトリトラバーサル (CWE-22) - CVE-2023-3330
CVSS v3 CVSS:3.0/AV:A/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 2.6 CVSS v2 AV:A/AC:M/Au:S/C:P/I:N/A:N 基本値: 2.3 - ディレクトリトラバーサル (CWE-22) - CVE-2023-3331
CVSS v3 CVSS:3.0/AV:A/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値: 2.6 CVSS v2 AV:A/AC:M/Au:S/C:N/I:P/A:N 基本値: 2.3 - 格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-3332
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値: 4.3 CVSS v2 AV:A/AC:M/Au:S/C:N/I:P/A:N 基本値: 2.3 - OSコマンドインジェクション (CWE-78) - CVE-2023-3333
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8 CVSS v2 AV:A/AC:L/Au:S/C:C/I:C/A:C 基本値: 7.7
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- ユーザによって、当該製品内の特定のファイルを閲覧される - CVE-2023-3330
- ユーザによって、当該製品内の特定のファイルを削除される - CVE-2023-3331
- CVE-2023-3330、CVE-2023-3331を利用し高権限を取得した攻撃者によって、任意のスクリプトを実行される - CVE-2023-3332
- CVE-2023-3330、CVE-2023-3331を利用し高権限を取得した攻撃者によって、root 権限で任意の OS コマンドを実行される - CVE-2023-3333
現行製品の利用を停止し、後続製品に乗り換える
開発者によると、当該製品はすでにサポートが終了しているとのことです。後続製品への乗り換え等を検討してください。
ワークアラウンドを実施する
当該製品への修正アップデートの予定はありません。開発者は後続製品への乗り換え実施までの対応として、本脆弱性の影響を軽減するワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報をご確認ください。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2023-3330 |
|
CVE-2023-3331 |
|
|
CVE-2023-3332 |
|
|
CVE-2023-3333 |
|
| JVN iPedia |
JVNDB-2023-000066 |
- 2023/07/07
- 複数製品への影響が判明したことに伴い、[タイトル]、[概要]、[影響を受けるシステム]、[詳細情報] および [対策方法] を更新しました
