JVN#88993473
複数のエレコム製 LAN ルーターにおける複数の脆弱性
複数のエレコム製 LAN ルーターには、複数の脆弱性が存在します。
CVE-2021-20852、CVE-2021-20853、CVE-2021-20854、CVE-2021-20855、CVE-2021-20856
- WRH-733GBK ファームウェア v1.02.9 およびそれ以前
- WRH-733GWH ファームウェア v1.02.9 およびそれ以前
- WRC-2533GHBK-I ファームウェア v1.20 およびそれ以前
- WRC-1167GST2 ファームウェア v1.25 およびそれ以前
- WRC-1167GST2A ファームウェア v1.25 およびそれ以前
- WRC-1167GST2H ファームウェア v1.25 およびそれ以前
- WRC-2533GS2-B ファームウェア v1.52 およびそれ以前
- WRC-2533GS2-W ファームウェア v1.52 およびそれ以前
- WRC-1750GS ファームウェア v1.03 およびそれ以前
- WRC-1750GSV ファームウェア v2.11 およびそれ以前
- WRC-1900GST ファームウェア v1.03 およびそれ以前
- WRC-2533GST ファームウェア v1.03 およびそれ以前
- WRC-2533GSTA ファームウェア v1.03 およびそれ以前
- WRC-2533GST2 ファームウェア v1.25 およびそれ以前
- WRC-2533GST2SP ファームウェア v1.25 およびそれ以前
- WRC-2533GST2-G ファームウェア v1.25 およびそれ以前
- EDWRC-2533GST2 ファームウェア v1.25 およびそれ以前
- WRC-1167GS2-B ファームウェア v1.65 およびそれ以前
- WRC-1167GS2H-B ファームウェア v1.65 およびそれ以前
- WMC-DLGST2-W ファームウェア v1.24 およびそれ以前
- WMC-M1267GST2-W ファームウェア v1.24 およびそれ以前
- WMC-2HC-W ファームウェア v1.24 およびそれ以前
- WMC-C2533GST-W ファームウェア v1.24 およびそれ以前
- WRC-1900GST2 ファームウェア v1.15 およびそれ以前
- WRC-1900GST2SP ファームウェア v1.15 およびそれ以前
- WRC-1750GST2 ファームウェア v1.14 およびそれ以前
エレコム株式会社が提供する複数の LAN ルーターには、次の複数の脆弱性が存在します。
- バッファオーバーフロー (CWE-121) - CVE-2021-20852
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8 CVSS v2 AV:A/AC:L/Au:S/C:P/I:P/A:P 基本値: 5.2 - OS コマンドインジェクション (CWE-78) - CVE-2021-20853, CVE-2021-20854
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8 CVSS v2 AV:A/AC:L/Au:S/C:P/I:P/A:P 基本値: 5.2 - クロスサイトスクリプティング (CWE-79) - CVE-2021-20855, CVE-2021-20856
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:N/AC:M/Au:S/C:N/I:P/A:N 基本値: 3.5 - クロスサイトスクリプティング (CWE-79) - CVE-2021-20857
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値: 6.1 CVSS v2 AV:N/AC:H/Au:N/C:N/I:P/A:N 基本値: 2.6 - クロスサイトスクリプティング (CWE-79) - CVE-2021-20858
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:N/AC:M/Au:S/C:N/I:P/A:N 基本値: 3.5 - OS コマンドインジェクション (CWE-78) - CVE-2021-20859
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.0 CVSS v2 AV:A/AC:L/Au:S/C:C/I:C/A:C 基本値: 7.7 - クロスサイトリクエストフォージェリ (CWE-352) - CVE-2021-20860
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 8.8 CVSS v2 AV:N/AC:H/Au:N/C:P/I:P/A:P 基本値: 5.1 - アクセス制限不備 (CWE-284) - CVE-2021-20861, CVE-2022-25915
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 CVSS v2 AV:A/AC:L/Au:N/C:P/I:P/A:P 基本値: 5.8
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品の管理画面にログイン可能な隣接するネットワーク上の第三者によって、任意の OS コマンドを実行される - CVE-2021-20852, CVE-2021-20853, CVE-2021-20854
- 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトが実行される - CVE-2021-20855, CVE-2021-20856, CVE-2021-20857, CVE-2021-20858
- 当該製品にログイン可能な隣接するネットワーク上の第三者によって、任意の OS コマンドを実行される - CVE-2021-20859
- 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2021-20860
- 隣接するネットワーク上の第三者によって、認証なしで管理画面にアクセスされる - CVE-2021-20861, CVE-2022-25915
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
エレコム株式会社 | 該当製品あり | 2022/03/29 | エレコム株式会社 の告知ページ |
CVE-2021-20852、CVE-2021-20853、CVE-2021-20854
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏
CVE-2021-20855、CVE-2021-20856
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 三井物産セキュアディレクション株式会社 山本 知典 氏
CVE-2021-20857、CVE-2021-20858
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: サイバーセキュリティ研究団 今岡陵 氏、今岡稔雄 氏
CVE-2021-20859、CVE-2021-20860、CVE-2021-20861
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 株式会社サイバーディフェンス研究所 永岡 悟 氏
CVE-2022-25915
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 佐藤勝彦(goroh_kun) 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2021-20852 |
CVE-2021-20853 |
|
CVE-2021-20854 |
|
CVE-2021-20855 |
|
CVE-2021-20856 |
|
CVE-2021-20857 |
|
CVE-2021-20858 |
|
CVE-2021-20859 |
|
CVE-2021-20860 |
|
CVE-2021-20861 |
|
CVE-2022-25915 |
|
JVN iPedia |
JVNDB-2021-000108 |
- 2022/02/08
- エレコム株式会社のベンダステータスが更新されました
- 2022/02/08
- [影響を受けるシステム] を更新しました
- 2022/03/29
- エレコム株式会社のベンダステータスが更新されました
- 2022/03/29
- [影響を受けるシステム]、[詳細情報]、[想定される影響]、[謝辞] を更新しました
- 2022/03/30
- [詳細情報] の誤記を修正しました