JVN#40613060
WNC01WH における複数の脆弱性

株式会社バッファローが提供する WNC01WH には、複数の脆弱性が存在します。

• WNC01WH ファームウェア バージョン 1.0.0.8 およびそれ以前

株式会社バッファローが提供する WNC01WH は、ネットワークカメラです。WNC01WH には、次の複数の脆弱性が存在します。

• サービス運用妨害 (DoS) - CVE-2016-7821

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H	基本値: 6.5
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:N/A:C	基本値: 5.4

• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2016-7822

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N	基本値: 7.1
  CVSS v2	AV:N/AC:H/Au:N/C:P/I:P/A:N	基本値: 4.0

• 格納型クロスサイトスクリプティング (CWE-79) - CVE-2016-7823

  CVSS v3	CVSS:3.0/AV:A/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	基本値: 4.3
  CVSS v2	AV:A/AC:L/Au:S/C:N/I:P/A:N	基本値: 2.7

• デバッグオプションの有効化 - CVE-2016-7824

  CVSS v3	CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	基本値: 6.8
  CVSS v2	AV:A/AC:L/Au:S/C:N/I:P/A:N	基本値: 2.7

• コマンドの処理に起因するディレクトリトラバーサル (CWE-22) - CVE-2016-7825

  CVSS v3	CVSS:3.0/AV:A/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N	基本値: 2.0
  CVSS v2	AV:A/AC:H/Au:S/C:P/I:N/A:N	基本値: 1.4

• POST リクエストの処理に起因するディレクトリトラバーサル (CWE-22) - CVE-2016-7826

  CVSS v3	CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H	基本値: 6.1
  CVSS v2	AV:A/AC:L/Au:S/C:N/I:P/A:C	基本値: 6.2

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、当該製品の管理画面にアクセスできなくなる - CVE-2016-7821
• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、ユーザの意図しない任意の操作を実行される - CVE-2016-7822
• 当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2016-7823
• 当該製品の管理画面にアクセス可能なユーザによって、デバッグオプションを有効化される - CVE-2016-7824
• 当該製品の管理画面にアクセス可能なユーザによって、当該製品上の任意のファイルを取得される - CVE-2016-7825
• 当該製品の管理画面にアクセス可能なユーザによって、当該製品上の任意のファイルを削除される - CVE-2016-7826

アップデートする
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。