【活用ガイド】

[English]

JVNDB-2023-006578

ASUSTeK COMPUTER 製 RT-AC87U における不適切なアクセス制御の脆弱性

概要

ASUSTeK COMPUTER INC. が提供する RT-AC87U には、不適切なアクセス制御の脆弱性(CWE-284)が存在します。

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.5 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
影響を受けるシステム


ASUSTeK Computer Inc.
  • RT-AC87U ファームウェア 全てのバージョン

想定される影響

第三者が、本来アクセスを想定していないファイルの読み書きをする可能性があります。
対策

[当該製品の使用を停止する、後継製品に移行する]
開発者によると、当該製品は2021年5月にサポートを終了しているため、更新ファームウェアは提供されないとのことです。
該当製品の使用停止および後継製品への移行が推奨されています。

[ワークアラウンドを実施する]
開発者は、当該デバイスを停止するまでの間は TFTP サーバを停止することを推奨しています。
WebUI から SSH を有効化し、SSH 接続して「killall tftpd」を実行してください。

詳しくは、開発者にお問い合わせください。
ベンダ情報

ASUSTeK Computer Inc.
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切なアクセス制御(CWE-284) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-47678
参考情報

  1. JVN : JVNVU#96079387
  2. National Vulnerability Database (NVD) : CVE-2023-47678
更新履歴

  • [2023年11月15日]
      掲載
  • [2024年04月30日]
      参考情報:National Vulnerability Database (NVD) (CVE-2023-47678) を追加

公表日2023/11/15
登録日2023/11/15
最終更新日2024/04/30