JVNDB-2024-000020

エレコム製無線 LAN ルーターおよび無線 LAN 中継器における複数の脆弱性

エレコム株式会社が提供する複数の無線 LAN ルーターおよび無線 LAN 中継器には、次の複数の脆弱性が存在します。

• クロスサイトスクリプティング (CWE-79) - CVE-2024-21798
• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2024-23910

CVE-2024-21798
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 富士通株式会社 山口 翔生 氏

CVE-2024-23910
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社サイバーディフェンス研究所 永岡　悟 氏

エレコム株式会社

• WMC-X1800GST-B v1.41 およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-1167GS2-B v1.67 およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-1167GS2H-B v1.67 およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-2533GS2-B v1.62 およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-2533GS2-W v1.62 およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-2533GS2V-B v1.62 およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-2533GST2 ファームウェア v1.30およびそれ以前のバージョン(CVE-2024-21798) (CVE-2024-23910)
• WRC-G01-W v1.24およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WRC-X3200GST3-B v1.25およびそれ以前のバージョン (CVE-2024-21798) (CVE-2024-23910)
• WSC-X1800GS-B v1.41 およびそれ以前のバージョン (CVE-2024-23910)

WMC-X1800GST-B および WSC-X1800GS-B は、同社が販売する e-Meshスターターキット「WMC-2LX-B」にも含まれます。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 悪意を持った管理者により細工された内容があらかじめ設定された製品に、別の管理者がログインして操作した場合、ウェブブラウザ上で任意のスクリプトを実行される - CVE-2024-21798
• 当該製品にログインした状態の管理者が、細工されたページにアクセスした場合、当該製品に対して意図しない操作をさせられる - CVE-2024-23910

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

エレコム株式会社

• エレコム株式会社 : 無線LANルーターのセキュリティ向上のためのファームウェアアップデート実施のお知らせ

1. クロスサイトスクリプティング(CWE-79) [IPA評価]
2. クロスサイトリクエストフォージェリ(CWE-352) [IPA評価]

1. CVE-2024-21798
2. CVE-2024-23910

1. JVN : JVN#44166658

• [2024年02月20日]
    掲載
• [2024年03月26日]
    影響を受けるシステム:内容を追記
• [2024年05月28日]
    タイトル:内容を変更
    概要:内容を追記
    影響を受けるシステム:内容を追記
  
• [2024年08月27日]
    影響を受けるシステム:内容を追記