株式会社バッファローが提供するネットワーク製品の一部に脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。
スイッチ10製品が該当する。いずれも対策済みファームウェアが提供されており、同社およびJVNではアップデートの適用を呼び掛けている。
発表された脆弱性は次の3種類。
1.ハードコードされた認証情報の使用(CVE-2023-26588)
当該製品のデバッグ機能にアクセスされる可能性がある。CVSS v3のスコアは2.4。
2.不適切なアクセス制御(CVE-2023-24544)
当該製品の特定ファイルを窃取され、結果として製品の設定を不正に変更される可能性がある。CVSS v3のスコアは6.5。
3.格納型クロスサイトスクリプティング(CVE-2023-24464)
ウェブ管理画面にアクセス可能な攻撃者によって、正規ユーザーのウェブブラウザー上で任意のJavaScriptを実行される可能性がある。CVSS v3のスコアは4.0。
脆弱性が存在する製品は以下のとおり。カッコ内は該当する脆弱性を示す。
- BS-GSL2024 ファームウェア Ver. 1.10-0.03以前(1、2)
- BS-GSL2016P ファームウェア Ver. 1.10-0.03以前(1、2)
- BS-GSL2016 ファームウェア Ver. 1.10-0.03以前(1、2)
- BS-GS2008 ファームウェア Ver. 1.0.10.01以前(1、2、3)
- BS-GS2016 ファームウェア Ver. 1.0.10.01以前(1、2、3)
- BS-GS2024 ファームウェア Ver. 1.0.10.01以前(1、2、3)
- BS-GS2048 ファームウェア Ver. 1.0.10.01以前(1、2、3)
- BS-GS2008P ファームウェア Ver. 1.0.10.01以前(1、2、3)
- BS-GS2016P ファームウェア Ver. 1.0.10.01以前(1、2、3)
- BS-GS2024P ファームウェア Ver. 1.0.10.01以前(1、2、3)