公開日:2023/03/07 最終更新日:2023/03/07
JVNVU#96824262
バッファロー製ネットワーク機器における複数の脆弱性
株式会社バッファローが提供する複数のネットワーク機器には、複数の脆弱性が存在します。
CVE-2023-26588、CVE-2023-24544
- BS-GSL2024 ファームウェア Ver. 1.10-0.03 およびそれ以前
- BS-GSL2016P ファームウェア Ver. 1.10-0.03 およびそれ以前
- BS-GSL2016 ファームウェア Ver. 1.10-0.03 およびそれ以前
- BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前
- BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前
株式会社バッファローが提供する複数のネットワーク機器には、次の脆弱性が存在します。
- ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-26588
CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 2.4 - 不適切なアクセス制御 (CWE-284) - CVE-2023-24544
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 6.5 - 格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-24464
CVSS v3 CVSS:3.1/AV:A/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 4.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品のデバッグ機能にアクセスされる - CVE-2023-26588
- 当該製品の特定ファイルを窃取され、結果として製品の設定を不正に変更される - CVE-2023-24544
- Web管理画面にアクセス可能な攻撃者によって、正規ユーザのウェブブラウザ上で任意のJavaScriptを実行される - CVE-2023-24464
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NeroTeam Security Labs Thomas J. Knudsen 氏、Samy Younsi 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2023-26588 |
|
CVE-2023-24544 |
|
|
CVE-2023-24464 |
|
| JVN iPedia |
|
