公開日:2021/11/30 最終更新日:2022/03/29
JVNVU#94527926
エレコム製ルータにおける複数の脆弱性
エレコム株式会社が提供する複数のルータ製品には、複数の脆弱性が存在します。
- WRC-1167GST2 ファームウェア v1.25およびそれ以前
- WRC-1167GST2A ファームウェア v1.25およびそれ以前
- WRC-1167GST2H ファームウェア v1.25およびそれ以前
- WRC-2533GS2-B ファームウェア v1.52およびそれ以前
- WRC-2533GS2-W ファームウェア v1.52およびそれ以前
- WRC-1750GS ファームウェア v1.03およびそれ以前
- WRC-1750GSV ファームウェア v2.11およびそれ以前
- WRC-1900GST ファームウェア v1.03およびそれ以前
- WRC-2533GST ファームウェア v1.03およびそれ以前
- WRC-2533GSTA ファームウェア v1.03およびそれ以前
- WRC-2533GST2 ファームウェア v1.25およびそれ以前
- WRC-2533GST2SP ファームウェア v1.25およびそれ以前
- WRC-2533GST2-G ファームウェア v1.25およびそれ以前
- EDWRC-2533GST2 ファームウェア v1.25およびそれ以前
- WRC-1167GS2-B ファームウェア v1.65およびそれ以前
- WRC-1167GS2H-B ファームウェア v1.65およびそれ以前
- WMC-DLGST2-W ファームウェア v1.24およびそれ以前
- WMC-M1267GST2-W ファームウェア v1.24およびそれ以前
- WMC-2HC-W ファームウェア v1.24およびそれ以前
- WMC-C2533GST-W ファームウェア v1.24およびそれ以前
- WRC-1900GST2 ファームウェア v1.15およびそれ以前
- WRC-1900GST2SP ファームウェア v1.15およびそれ以前
- WRC-1750GST2 ファームウェア v1.14およびそれ以前
エレコム株式会社が提供する複数のルータ製品には、次の脆弱性が存在します。
- CSRF対策トークンに対するアクセス制限不備 (CWE-284) - CVE-2021-20862
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L 基本値: 5.4 - OSコマンドインジェクション (CWE-78) - CVE-2021-20863
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 - telnetサービスへのアクセス制限の不備 (CWE-284) - CVE-2021-20864
CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 7.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 隣接するネットワーク上の第三者により、当該製品で用いられているCSRFトークンを不正に取得され、設定を変更させられる可能性があります - CVE-2021-20862
- 当該製品の管理画面にアクセス可能な第三者によって、root権限で任意のOSコマンドを実行される可能性があります - CVE-2021-20863
- 隣接するネットワーク上の第三者により、当該機器のtelnetサービスを有効化され、root権限で任意のOSコマンドを実行される可能性があります - CVE-2021-20864
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
本脆弱性を修正したファームウェアバージョンは下記のとおりです。
- WRC-1167GST2 ファームウェア v1.27
- WRC-1167GST2A ファームウェア v1.27
- WRC-1167GST2H ファームウェア v1.27
- WRC-2533GS2-B ファームウェア v1.61
- WRC-2533GS2-W ファームウェア v1.61
- WRC-1750GS ファームウェア v1.06
- WRC-1750GSV ファームウェア v2.30
- WRC-1900GST ファームウェア v1.06
- WRC-2533GST ファームウェア v1.06
- WRC-2533GSTA ファームウェア v1.06
- WRC-2533GST2 ファームウェア v1.27
- WRC-2533GST2SP ファームウェア v1.27
- WRC-2533GST2-G ファームウェア v1.27
- EDWRC-2533GST2 ファームウェア v1.27
- WRC-1167GS2-B ファームウェア v1.66
- WRC-1167GS2H-B ファームウェア v1.66
- WMC-DLGST2-W ファームウェア v1.25
- WMC-M1267GST2-W ファームウェア v1.25
- WMC-2HC-W ファームウェア v1.25
- WMC-C2533GST-W ファームウェア v1.25
- WRC-1900GST2 ファームウェア v1.16
- WRC-1900GST2SP ファームウェア v1.16
- WRC-1750GST2 ファームウェア v1.15
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
エレコム株式会社 | 該当製品あり | 2022/03/29 | エレコム株式会社 の告知ページ |
この脆弱性情報は、株式会社ゼロゼロワン 佐藤勝彦(goroh_kun)氏、早川 宙也 氏 が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2021-20862 |
CVE-2021-20863 |
|
CVE-2021-20864 |
|
JVN iPedia |
|
- 2022/02/08
- エレコム株式会社のベンダステータスが更新されました
- 2022/02/08
- [影響を受けるシステム]、[対策方法] に対象製品を追加しました
- 2022/03/29
- エレコム株式会社のベンダステータスが更新されました
- 2022/03/29
- [影響を受けるシステム]、[対策方法] に対象製品を追加しました