「WRC-1167FEBK-A」などエレコムのWi-Fiルーター・中継機9製品に複数の脆弱性、対策済みファームウェアへのアップデートを 

INTERNET Watch

WRC-1167FEBK-A

 エレコム株式会社のWi-Fiルーターおよび中継機に複数の脆弱性が存在するとして、同社および「JVN(Japan Vulnerability Notes)」が情報を公開した。いずれも対策済みのファームウェアが公開されており、最新版のファームウェアにアップデートすることで対策できる。

 対象となる製品およびファームウェアのバージョンは以下(全9製品)。カッコ書きの番号は、後述する脆弱性との対応を示す。脆弱性は、CVEベースで9種類確認されている。

  • WRH-300WH-H バージョン2.12以前(1、2)
  • WTC-300HWH バージョン1.09以前(1、2)
  • WTC-C1167GC-B バージョン1.17以前(2、3)
  • WTC-C1167GC-W バージョン1.17以前(2、3)
  • WRC-1167FEBK-S バージョン1.04以前(4、5、6)
  • WRC-1167GHBK3-A バージョン1.24以前(4、5、6、7、8)
  • WRC-1167FEBK-A バージョン1.18以前(4、5、6、7)
  • WRC-1167GHBK-S バージョン1.03以前(4、5、6、9)
  • WRC-1167GEBK-S バージョン1.03以前(4、5、6、9)

 それぞれの脆弱性の内容は以下の通り。

1.クロスサイトスクリプティング(CVE-2023-37560)

 当該製品にログインした状態のユーザのウェブブラウザー上で、任意のスクリプトを実行される可能性がある。CVSS.v3のスコアは6.1。

2.オープンリダイレクト(CVE-2023-37561)

 細工されたURLにアクセスすることで、任意のウェブサイトにリダイレクトされ、フィッシングなどの被害にあう可能性がある。CVSS.v3のスコアは4.7。

3.クロスサイトリクエストフォージェリ(CVE-2023-37562)

 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。CVSS.v3のスコアは4.3。

4.情報漏えい(CVE-2023-37563)

 当該製品にアクセスできる第三者によって、機微な情報を窃取される可能性がある。CVSS.v3のスコアは6.5。

5.OSコマンドインジェクション(CVE-2023-37564)

 当該製品にログイン可能な第三者によって、細工されたリクエストを送信され、root権限で任意のOSコマンドを実行される可能性がある。CVSS.v3のスコアは6.8。

6.コードインジェクション(CVE-2023-37565)

 当該製品にログイン可能な第三者によって、細工されたリクエストを送信され、任意のコードを実行される可能性がある。CVSS.v3のスコアは6.8。

7.ウェブ管理画面におけるコマンドインジェクション(CVE-2023-37566)

 ログイン可能な第三者によって、ウェブ管理画面に対して細工されたリクエストを送信され、任意のコマンドを実行される可能性がある。CVSS.v3のスコアは6.8。

8.ウェブ管理画面の特定ポート番号におけるコマンドインジェクション (CVE-2023-37567)

 遠隔の第三者によって、ウェブ管理画面の特定のポート番号に対して細工されたリクエストを送信され、任意のコマンドを実行される可能性がある。CVSS.v3のスコアは9.8。

9.ウェブ管理画面におけるコマンドインジェクション(CVE-2023-37568)

 ログイン可能な第三者によって、ウェブ管理画面に対して細工されたリクエストを送信され、任意のコマンドを実行される可能性がある。CVSS.v3のスコアは6.8。

Source