公開日:2024/12/16 最終更新日:2024/12/16
JVN#61635834
シャープ製ルータ製品における複数の脆弱性
シャープ株式会社が提供する複数のルータ製品には、複数の脆弱性が存在します。
CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321
株式会社NTTドコモ向け
- home 5G HR02 バージョンS5.82.00およびそれ以前
- Wi-Fi STATION SH-52B バージョンS3.87.11およびそれ以前
- Wi-Fi STATION SH-54C バージョンS6.60.00およびそれ以前
株式会社NTTドコモ向け
- Wi-Fi STATION SH-05L バージョン01.00.C0およびそれ以前
- PocketWifi 809SH バージョン01.00.B9およびそれ以前
- Speed Wi-Fi NEXT W07 バージョン02.00.48およびそれ以前
株式会社NTTドコモ向け
- home 5G HR02 バージョンS5.82.00およびそれ以前
- Wi-Fi STATION SH-54C バージョンS6.60.00およびそれ以前
- ホスト名設定画面におけるOSコマンドインジェクション(CWE-78)
- CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
- CVE-2024-45721
- 非公開のデバッグ機能が有効となっている問題(CWE-489)
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
- CVE-2024-46873
- 非公開のデバッグ機能におけるバッファオーバーフロー(CWE-120)
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
- CVE-2024-47864
- 設定バックアップ機能における認証不備(CWE-497)
- CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 5.9
- CVE-2024-52321
- 設定リストア機能におけるOSコマンドインジェクション(CWE-78)
- CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
- CVE-2024-54082
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- root権限で任意のOSコマンドを実行される(CVE-2024-45721、CVE-2024-46873、CVE-2024-54082)
- Web管理画面へのアクセスができなくなる(CVE-2024-47864)
- 機微な情報を含むバックアップファイルを取得される(CVE-2024-52321)
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| シャープ株式会社 | 該当製品あり | 2024/12/16 | シャープ株式会社 の告知ページ |
| ソフトバンク株式会社 | 該当製品あり | 2024/12/16 | ソフトバンク株式会社 の告知ページ |
| 株式会社NTTドコモ | 該当製品あり | 2024/12/16 | |
| KDDI株式会社 | 該当製品あり | 2024/12/16 | KDDI株式会社 の告知ページ |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ラック 今井志有人 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2024-45721 |
|
CVE-2024-46873 |
|
|
CVE-2024-47864 |
|
|
CVE-2024-52321 |
|
|
CVE-2024-54082 |
|
| JVN iPedia |
JVNDB-2024-000128 |
