JVNDB-2017-000185

WN-AX1167GR における複数の脆弱性

株式会社アイ・オー・データ機器が提供する WN-AX1167GR は無線 LAN ルータです。WN-AX1167GR3 には、次の複数の脆弱性が存在します。
・認証情報がハードコードされている問題 (CWE-798) - CVE-2017-2280
・OS コマンドインジェクション (CWE-78) - CVE-2017-2281
・バッファオーバーフロー (CWE-119) - CVE-2017-2282

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏

株式会社アイ・オー・データ機器

• WN-AX1167GR ファームウエアバージョン 3.00 およびそれ以前

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・当該製品が接続しているネットワークにアクセス可能な第三者によって、当該製品上で任意のコードを実行される − CVE-2017-2280
・当該製品にアクセス可能な第三者によって、任意のコマンドを実行される − CVE-2017-2281
・当該製品にログインした状態のユーザに細工されたページにアクセスさせることで、任意のコマンドが実行される − CVE-2017-2282

[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。

株式会社アイ・オー・データ機器

• I-O DATA : 無線ルーター「WN-AX1167GR」セキュリティの脆弱性について

1. 認可・権限・アクセス制御(CWE-264) [IPA評価]
2. OSコマンドインジェクション(CWE-78) [IPA評価]
3. バッファエラー(CWE-119) [IPA評価]

1. CVE-2017-2280
2. CVE-2017-2281
3. CVE-2017-2282

1. JVN : JVN#01312667
2. National Vulnerability Database (NVD) : CVE-2017-2280
3. National Vulnerability Database (NVD) : CVE-2017-2281
4. National Vulnerability Database (NVD) : CVE-2017-2282

• [2017年07月27日]
    掲載
  [2018年01月24日]
    参考情報：National Vulnerability Database (NVD) (CVE-2017-2280) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2017-2281) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2017-2282) を追加