東芝ライテック製ホームゲートウェイに複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、東芝ライテックが提供するホームゲートウェイに、複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2018.12.20 Thu 8:45

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は12月19日、東芝ライテック株式会社が提供するホームゲートウェイに、複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。三井物産セキュアディレクション株式会社の国分裕氏、一ノ瀬太樹氏、米山俊嗣氏が報告を行った。

「東芝ホームゲートウェイ HEM-GW16A 1.2.9 およびそれ以前」「東芝ホームゲートウェイ HEM-GW26A 1.2.9 およびそれ以前」には、アクセス制限不備（CVE-2018-16197）、隠れた機能（CVE-2018-16198）、クロスサイトスクリプティング（CVE-2018-16199）、OSコマンドインジェクション（CVE-2018-16200）、認証情報がハードコードされている問題（CVE-2018-16201）の脆弱性が存在する。

想定される影響は脆弱性により異なるが、当該製品に保存された情報やファイルにアクセスされる、当該機器を操作される、当該製品を使用しているユーザのWebブラウザ上で、任意のスクリプトを実行される、任意のOSコマンドを実行されるなどの影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》