公開日:2024/12/13 最終更新日:2024/12/13

JVNVU#91084137
FXC製AE1021およびAE1021PEにおける複数の脆弱性

概要

FXC株式会社が提供するAE1021およびAE1021PEには、複数の脆弱性が存在します。

影響を受けるシステム

  • AE1021およびAE1021PE ファームウェアバージョン 2.0.10およびそれ以前

詳細情報

FXC株式会社が提供する情報コンセント対応型無線LANルータAE1021およびAE1021PEには、次の複数の脆弱性が存在します。

  • 弱い認証(CWE-1390
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値 7.5
    • CVE-2024-47397
  • OSコマンドインジェクション(CWE-78
    • CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
    • CVE-2024-53688
  • ドキュメント化されていない機能(CWE-1242
    • CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
    • CVE-2024-54457

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • マニュアルに記載されていない特定の文字列で当該製品の認証を回避される(CVE-2024-47397)
  • 当該製品にログイン後のユーザによって、任意のOSコマンドを実行される(CVE-2024-53688)
  • 当該製品にログイン後のユーザによって、Telnetサービスを有効にされる(CVE-2024-54457)

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
FXC株式会社 AE1021/AE1021PEのファームウェア 2.0.11 公開のお知らせ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

これらの脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 早川 宙也 氏、神野 亮 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-47397
CVE-2024-53688
CVE-2024-54457
JVN iPedia