公開日:2007/10/12 最終更新日:2007/10/29

JVN#71872818
AirStation シリーズおよび BroadStation シリーズにおけるクロスサイトリクエストフォージェリの脆弱性

概要

バッファロー製無線 LAN ルータである AirStation シリーズおよび BroadStation シリーズには、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

  • WZR-RS-G54 ファームウェア Ver.2.46 およびそれ以前
  • WZR-RS-G54HP ファームウェア Ver.2.43 およびそれ以前
  • WHR2-G54V ファームウェア Ver.2.42 およびそれ以前
  • BHR-4RV ファームウェア Ver.2.48 およびそれ以前

詳細情報

バッファロー製無線 LAN ルータである AirStation シリーズおよび BroadStation シリーズには、ブラウザから各機能を設定できるウェブ設定画面があります。このウェブ設定画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。

想定される影響

当該製品の管理者が、ウェブ設定画面にログインした状態で悪意あるページを読み込んだ場合、パスワードなどの設定が変更される可能性があります。

対策方法

アップデートする
各製品向けファームウェアを最新バージョンへアップデートする。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
株式会社バッファロー 該当製品あり 2007/10/29

参考情報

  1. IPA
    「AirStation シリーズ」および「BroadStation シリーズ」におけるクロスサイト・リクエスト・フォージェリの脆弱性
  2. IPA
    「AirStation シリーズ」および「BroadStation シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起について

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.10.12における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダとの調整を行いました。報告者: 株式会社トライコーダ 上野 宣 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia