富士ソフト株式会社からの情報

■FS010WのバージョンFS010W_00_V1.3.0以前にクロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性が存在することが判明しました。

この脆弱性を悪用された場合、

・FS010Wの設定ツールにログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される。
・FS010Wの設定ツールにログインした状態のユーザが、細工されたページにアクセスした場合、意図せずFS010Wの設定変更などをさせられる。

この問題の影響を受けるFS010Wのバージョンを以下に示しますので、ワークアラウンドを実施してください。

■脆弱性の説明
FS010Wは、ブラウザよりFS010Wの設定を変更する機能を搭載しています。

本脆弱性が存在するため、FS010Wを狙った悪意あるサイトを表示させた場合、クロスサイトスクリプティングまたはクロスサイトリクエストフォージェリの脆弱性により以下の操作をされる恐れがあります。

・設定ツールのログインパスワードの変更
・再起動
・設定初期化
・SSIDの変更

本脆弱性により意図しない設定がされてしまった場合は、microUSB横にあるリセットボタンを５秒以上押していただいてお買上げの状態に戻し、再度プロファイル設定をしてください。

■対策方法
次のワークアラウンドをすべて実施することで、本脆弱性の影響を軽減することが可能です。

・設定ツールのログインパスワードを初期設定から変更する
・設定ツールにログインしている間、他のウェブサイトにアクセスしない
・設定ツールでの操作終了後は、ウェブブラウザを終了する