JVNDB-2022-002222
|
muhttpd におけるディレクトリトラバーサルの脆弱性
|
|
muhttpd には、ディレクトリトラバーサルの脆弱性が存在します。
muhttpd は主としてホームルータなどの CPE (Customer Premise Equipment) で採用されている Web サーバです。バージョン 1.1.5 およびそれ以前の muhttpd にはディレクトリトラバーサルの脆弱性(CWE-22)が存在します。
この脆弱性により、機器内に保存されているユーザ名やパスワード、SSID に関する設定や ISP 接続情報といった機微な情報が漏えいする可能性があります。
muhttpd は CPE 機器のリモート管理を可能にする CGI スクリプトの使用をサポートしています。これにより当該機器がリモート管理可能な状態となっている場合、本脆弱性は遠隔からの攻撃が可能となることに留意してください。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
muhttpd
|
脆弱なバージョンが動作する muhttpd を搭載した製品については、CERT/CC Vulnerability Note VU#495801 に掲載されている Vendor Information も併せて参照してください。
|
|
脆弱なバージョンの muhttpd が動作する機器にアクセス可能な第三者から特別に細工された HTTP リクエストを送信されることにより、機器内の任意のファイルを窃取される可能性があります。
|
|
[アップデートする]
当該機器のベンダが提供する情報を注視し、最新のファームウェアバージョンにアップデートしてください。
[ワークアラウンドを実施する]
当該製品が遠隔からのアクセスを許可する設定で動作している場合、その設定を無効化しローカルエリアネットワークからのアクセスのみ許可することにより、攻撃経路が限定され被害を軽減させることが可能です。
|
|
muhttpd
|
|
- パス・トラバーサル(CWE-22) [その他]
|
|
- CVE-2022-31793
|
|
- JVN : JVNVU#97753810
- National Vulnerability Database (NVD) : CVE-2022-31793
- US-CERT Vulnerability Note : Current:VU#495801
- 関連文書 : Arris / Arris-variant DSL/Fiber router critical vulnerability exposure
|
|
- [2022年08月15日]
掲載
- [2024年06月14日]
CVSS による深刻度:内容を更新
|
