JVNDB-2023-001308

バッファロー製ネットワーク機器における複数の脆弱性

株式会社バッファローが提供する複数のネットワーク機器には、次の脆弱性が存在します。

　* ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-26588
　* 不適切なアクセス制御 (CWE-284) - CVE-2023-24544
　* 格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-24464

バッファロー

• BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前 - CVE-2023-24464
• BS-GSL2016 ファームウェア Ver. 1.10-0.03 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GSL2016P ファームウェア Ver. 1.10-0.03 およびそれ以前 - CVE-2023-26588、CVE-2023-24544
• BS-GSL2024 ファームウェア Ver. 1.10-0.03 およびそれ以前 - CVE-2023-26588、CVE-2023-24544

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* 当該製品のデバッグ機能にアクセスされる - CVE-2023-26588
　* 当該製品の特定ファイルを窃取され、結果として製品の設定を不正に変更される - CVE-2023-24544
　* Web管理画面にアクセス可能な攻撃者によって、正規ユーザのウェブブラウザ上で任意のJavaScriptを実行される - CVE-2023-24464

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

バッファロー

• 製品セキュリティ情報 : スイッチの一部商品における複数の脆弱性とその対処方法

1. 不適切なアクセス制御(CWE-284) [その他]
2. クロスサイトスクリプティング(CWE-79) [その他]
3. ハードコードされた認証情報の使用(CWE-798) [その他]

1. CVE-2023-26588
2. CVE-2023-24544
3. CVE-2023-24464

1. JVN : JVNVU#96824262

• [2023年03月08日]
    掲載