公開日:2024/10/25 最終更新日:2024/10/25

JVNVU#90620611
WiFi Alliance製Wi-Fi Test Suiteにおけるコマンドインジェクションの脆弱性

概要

WiFi Allianceが提供するWi-Fi Test Suiteには、コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • Wi-Fi Test Suite 9.0より前のバージョン

詳細情報

WiFi Allianceが提供するWi-Fi Test Suiteは、認証プログラムや機器認証の開発をサポートする製品です。そのため、本環境での使用を目的とした製品ではありませんが、商用ルーター「Arcadyan FMIMG51AX000J」での実装が発見され、コマンドインジェクションの脆弱性が存在することが確認されました。この脆弱性に対してCVE-2024-41992がアサインされました。

想定される影響

認証されていないローカルの攻撃者によって、特別に細工されたパケットを使用され、管理者としてコマンドを実行される可能性があります。

対策方法

本脆弱性の影響を受ける製品の開発者向けの対策方法
Wi-Fi Test Suiteをバージョン9.0以上に更新するか、完全な削除を検討してください。

ベンダ情報

ベンダ リンク
Wi-Fi Alliance Wi-Fi Test Tools | Wi-Fi Alliance

参考情報

  1. CERT/CC Vulnerability Note VU#123336
    Vulnerable WiFi Alliance example code found in Arcadyan FMIMG51AX000J
  2. GitHub
    Wi-FiTestSuite / Wi-FiTestSuite-Linux-DUT
  3. SSD Secure Disclosure
    SSD Advisory - Arcadyan FMIMG51AX000J (WiFi Alliance) RCE

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia