バッファロー製ネットワーク機器に複数の脆弱性 | ScanNetSecurity
2025.10.07(火)

バッファロー製ネットワーク機器に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2022-39044
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前

・CVE-2022-34840
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前

・CVE-2022-40966
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WRM-D2133HP ファームウェア Ver. 2.85 およびそれ以前
WRM-D2133HS ファームウェア Ver. 2.96 およびそれ以前
WTR-M2133HP ファームウェア Ver. 2.85 およびそれ以前
WTR-M2133HS ファームウェア Ver. 2.96 およびそれ以前
WXR-1900DHP ファームウェア Ver. 2.50 およびそれ以前
WXR-1900DHP2 ファームウェア Ver. 2.59 およびそれ以前
WXR-1900DHP3 ファームウェア Ver. 2.63 およびそれ以前
WXR-5950AX12 ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12B ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12S ファームウェア Ver. 3.40 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-1750DHP2 ファームウェア Ver. 2.31 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WEM-1266 ファームウェア Ver. 2.85 およびそれ以前
WEM-1266WP ファームウェア Ver. 2.85 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前

 株式会社バッファローが提供する複数のネットワーク機器には、それぞれ下記の影響を受ける可能性がある複数の脆弱性が存在する。

・ドキュメント化されていないデバッグ機能を有効化される問題(CVE-2022-39044)
→当該製品にログインしたユーザにデバッグ機能にアクセスされ、当該製品上で任意の OS コマンドが実行される

・ハードコードされた認証情報の使用(CVE-2022-34840)
→隣接するネットワーク上の第三者に当該製品の設定を変更される

・認証回避(CVE-2022-40966)
→隣接するネットワーク上の第三者に認証を回避され、当該製品に不正にアクセスされる

 JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. サイバー攻撃者が変更偽装困難なたったひとつの特徴

    サイバー攻撃者が変更偽装困難なたったひとつの特徴

  2. 一部を使用し保険募集活動も ~ アクサ生命の元従業員が個人情報を無断で持ち出し

    一部を使用し保険募集活動も ~ アクサ生命の元従業員が個人情報を無断で持ち出し

  3. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  4. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

  5. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

ランキングをもっと見る
PageTop