公開日:2022/12/09 最終更新日:2022/12/09

JVNVU#97099584
バッファロー製ネットワーク機器における複数の脆弱性

概要

株式会社バッファローが提供するルータ等のネットワーク製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-43466

  • WSR-3200AX4S ファームウェア Ver. 1.26 およびそれ以前
  • WSR-3200AX4B ファームウェア Ver. 1.25
  • WSR-2533DHP2 ファームウェア Ver. 1.22 およびそれ以前
  • WSR-A2533DHP2 ファームウェア Ver. 1.22 およびそれ以前
  • WSR-2533DHP3 ファームウェア Ver. 1.26 およびそれ以前
  • WSR-A2533DHP3 ファームウェア Ver. 1.26 およびそれ以前
  • WSR-2533DHPL2 ファームウェア Ver. 1.03 およびそれ以前
  • WSR-2533DHPLS ファームウェア Ver. 1.07 およびそれ以前
  • WEX-1800AX4 ファームウェア Ver. 1.13 およびそれ以前
  • WEX-1800AX4EA ファームウェア Ver. 1.13 およびそれ以前
CVE-2022-43443
  • WSR-3200AX4S ファームウェア Ver. 1.26 およびそれ以前
  • WSR-3200AX4B ファームウェア Ver. 1.25
  • WSR-2533DHP ファームウェア Ver. 1.08 およびそれ以前
  • WSR-2533DHP2 ファームウェア Ver. 1.22 およびそれ以前
  • WSR-A2533DHP2 ファームウェア Ver. 1.22 およびそれ以前
  • WSR-2533DHP3 ファームウェア Ver. 1.26 およびそれ以前
  • WSR-A2533DHP3 ファームウェア Ver. 1.26 およびそれ以前
  • WSR-2533DHPL ファームウェア Ver. 1.08 およびそれ以前
  • WSR-2533DHPL2 ファームウェア Ver. 1.03 およびそれ以前
  • WSR-2533DHPLS ファームウェア Ver. 1.07 およびそれ以前
  • WCR-1166DS ファームウェア Ver. 1.34 およびそれ以前
CVE-2022-43486
  • WSR-3200AX4S ファームウェア Ver. 1.26 およびそれ以前
  • WSR-3200AX4B ファームウェア Ver. 1.25
  • WSR-2533DHP ファームウェア Ver. 1.08 およびそれ以前
  • WSR-2533DHP2 ファームウェア Ver. 1.22 およびそれ以前
  • WSR-A2533DHP2 ファームウェア Ver. 1.22 およびそれ以前
  • WSR-2533DHP3 ファームウェア Ver. 1.26 およびそれ以前
  • WSR-A2533DHP3 ファームウェア Ver. 1.26 およびそれ以前
  • WSR-2533DHPL ファームウェア Ver. 1.08 およびそれ以前
  • WSR-2533DHPL2 ファームウェア Ver. 1.03 およびそれ以前
  • WSR-2533DHPLS ファームウェア Ver. 1.07 およびそれ以前
  • WCR-1166DS ファームウェア Ver. 1.34 およびそれ以前
  • WEX-1800AX4 ファームウェア Ver. 1.13 およびそれ以前
  • WEX-1800AX4EA ファームウェア Ver. 1.13 およびそれ以前

詳細情報

株式会社バッファローが提供する複数のネットワーク機器には、次の脆弱性が存在します。

  • OSコマンドインジェクション (CWE-78) - CVE-2022-43466
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L 基本値: 4.3
  • OSコマンドインジェクション (CWE-78) - CVE-2022-43443
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 6.3
  • ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912) - CVE-2022-43486
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該機器の管理画面にログイン可能な第三者によって、特定のCGIプログラムへ細工されたリクエストを送信されると、特定の管理画面を開いたときに任意のコマンドが実行される - CVE-2022-43466
  • 当該機器にアクセス可能な第三者によって、管理画面に細工されたリクエストを送信されると、任意のコマンドが実行される - CVE-2022-43443
  • 当該機器の管理画面にログイン可能な第三者によって、デバッグ機能が不正に有効化され任意のコマンドが実行される - CVE-2022-43486

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
株式会社バッファロー 該当製品あり 2022/12/09 株式会社バッファロー の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2022-43466
CVE-2022-43443
CVE-2022-43486
JVN iPedia