JVNDB-2024-000078

エレコム製無線LANルーターにおける複数の脆弱性

エレコム株式会社が提供する複数の無線LANルーターには、次の複数の脆弱性が存在します。

• アップロードするファイルの検証が不十分（CWE-434）- CVE-2024-34021
• OSコマンドインジェクション（CWE-78）- CVE-2024-39607
• クロスサイトリクエストフォージェリ（CWE-352）- CVE-2024-40883

CVE-2024-34021
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：日本電気株式会社 外山 拓 氏、荒井 大地 氏

CVE-2024-39607、CVE-2024-40883
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏

エレコム株式会社

• WRC-2533GS2-B v1.68 およびそれ以前のバージョン (CVE-2024-34021)
• WRC-2533GS2-W v1.68 およびそれ以前のバージョン (CVE-2024-34021)
• WRC-2533GS2V-B v1.68 およびそれ以前のバージョン (CVE-2024-34021)
• WRC-2533GST2 ファームウェア v1.30およびそれ以前のバージョン(CVE-2024-34021)
• WRC-X1500GS-B v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883)
• WRC-X1500GSA-B v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883)
• WRC-X3000GS2-B ファームウェア v1.08およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883)
• WRC-X3000GS2-W ファームウェア v1.08およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883)
• WRC-X3000GS2A-B ファームウェア v1.08およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883)
• WRC-X6000XS-G v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883)

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログインしたユーザから細工されたファイルをアップロードされ、任意のOSコマンドを実行される（CVE-2024-34021）
• 当該製品にログインしたユーザから細工されたリクエストを送信され、任意のOSコマンドを実行される（CVE-2024-39607）
• 当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ログインIDやログインパスワード等の設定を変更させられる（CVE-2024-40883）

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

エレコム株式会社

• エレコム株式会社 : 無線LANルーターのセキュリティ向上のための ファームウェアアップデート実施のお知らせ

1. OSコマンドインジェクション(CWE-78) [IPA評価]
2. クロスサイトリクエストフォージェリ(CWE-352) [IPA評価]
3. その他(CWE-Other) [IPA評価]

1. CVE-2024-34021
2. CVE-2024-39607
3. CVE-2024-40883

1. JVN : JVN#06672778

• [2024年07月30日]
    掲載
• [2024年08月27日]
    影響を受けるシステム:内容を追記