JVNDB-2021-000038

Cisco Small Business Series Wireless Access Points における複数の脆弱性

Cisco Systems, Inc. が提供する Cisco Small Business Series Wireless Access Points には、次の複数の脆弱性が存在します。
・アクセス制限不備 (CWE-284) - CVE-2021-1400
・コマンドインジェクション (CWE-78) - CVE-2021-1401

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ラック 今井志有人 氏

シスコシステムズ

• WAP125 Wireless-AC Dual Band Desktop Access Point with PoE 1.0.3.1 およびそれ以前
• WAP131 Wireless-N Dual Radio Access Point with PoE 1.0.2.17 およびそれ以前
• WAP150 Wireless-AC/N Dual Radio Access Point with PoE 1.1.2.4 およびそれ以前
• WAP351 Wireless-N Dual Radio Access Point with 5-Port Switch 1.0.2.17 およびそれ以前
• WAP361 Wireless-AC/N Dual Radio Wall Plate Access Point with PoE 1.1.2.4 およびそれ以前
• WAP581 Wireless-AC Dual Radio Wave 2 Access Point with 2.5GbE LAN 1.0.3.1 およびそれ以前

開発者によると、WAP131 Wireless-N Dual Radio Access Point with PoE および WAP351 Wireless-N Dual Radio Access Point with 5-Port Switch は既にサポート終了 (End-of-Life, EOL) とのことです。詳しくは、開発者が提供する情報をご確認ください。

想定される影響は各脆弱性により異なりますが、当該製品にアクセス可能な第三者によって、細工された HTTP リクエストを当該製品のウェブ管理画面のインターフェースに送信されることで、次のような影響を受ける可能性があります。
・管理者を含む別のユーザになりすまされる - CVE-2021-1400
・当該製品の管理者権限で任意のコマンドを実行される - CVE-2021-1401

[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。

シスコシステムズ

• Cisco Security Advisory : Cisco Small Business 100, 300, and 500 Series Wireless Access Points Vulnerabilities

1. 認可・権限・アクセス制御(CWE-264) [IPA評価]
2. OSコマンドインジェクション(CWE-78) [IPA評価]

1. CVE-2021-1400
2. CVE-2021-1401

1. JVN : JVN#71263107
2. National Vulnerability Database (NVD) : CVE-2021-1400
3. National Vulnerability Database (NVD) : CVE-2021-1401

• [2021年05月14日]
    掲載