バッファロー製ネットワーク機器に複数の脆弱性 | ScanNetSecurity
2025.10.27(月)

バッファロー製ネットワーク機器に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2022-39044
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前

・CVE-2022-34840
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前

・CVE-2022-40966
WCR-300 ファームウェア Ver. 1.87 およびそれ以前
WHR-HP-G300N ファームウェア Ver. 2.00 およびそれ以前
WHR-HP-GN ファームウェア Ver. 1.87 およびそれ以前
WPL-05G300 ファームウェア Ver. 1.88 およびそれ以前
WRM-D2133HP ファームウェア Ver. 2.85 およびそれ以前
WRM-D2133HS ファームウェア Ver. 2.96 およびそれ以前
WTR-M2133HP ファームウェア Ver. 2.85 およびそれ以前
WTR-M2133HS ファームウェア Ver. 2.96 およびそれ以前
WXR-1900DHP ファームウェア Ver. 2.50 およびそれ以前
WXR-1900DHP2 ファームウェア Ver. 2.59 およびそれ以前
WXR-1900DHP3 ファームウェア Ver. 2.63 およびそれ以前
WXR-5950AX12 ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12B ファームウェア Ver. 3.40 およびそれ以前
WXR-6000AX12S ファームウェア Ver. 3.40 およびそれ以前
WZR-300HP ファームウェア Ver. 2.00 およびそれ以前
WZR-450HP ファームウェア Ver. 2.00 およびそれ以前
WZR-600DHP ファームウェア Ver. 2.00 およびそれ以前
WZR-900DHP ファームウェア Ver. 1.15 およびそれ以前
WZR-1750DHP2 ファームウェア Ver. 2.31 およびそれ以前
WZR-HP-AG300H ファームウェア Ver. 1.76 およびそれ以前
WZR-HP-G302H ファームウェア Ver. 1.86 およびそれ以前
WEM-1266 ファームウェア Ver. 2.85 およびそれ以前
WEM-1266WP ファームウェア Ver. 2.85 およびそれ以前
WLAE-AG300N ファームウェア Ver. 1.86 およびそれ以前
FS-600DHP ファームウェア Ver. 3.40 およびそれ以前
FS-G300N ファームウェア Ver. 3.14 およびそれ以前
FS-HP-G300N ファームウェア Ver. 3.33 およびそれ以前
FS-R600DHP ファームウェア Ver. 3.40 およびそれ以前
BHR-4GRV ファームウェア Ver. 2.00 およびそれ以前

 株式会社バッファローが提供する複数のネットワーク機器には、それぞれ下記の影響を受ける可能性がある複数の脆弱性が存在する。

・ドキュメント化されていないデバッグ機能を有効化される問題(CVE-2022-39044)
→当該製品にログインしたユーザにデバッグ機能にアクセスされ、当該製品上で任意の OS コマンドが実行される

・ハードコードされた認証情報の使用(CVE-2022-34840)
→隣接するネットワーク上の第三者に当該製品の設定を変更される

・認証回避(CVE-2022-40966)
→隣接するネットワーク上の第三者に認証を回避され、当該製品に不正にアクセスされる

 JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 野村證券の委託先企業が利用するクラウドサービスに不正アクセス

    野村證券の委託先企業が利用するクラウドサービスに不正アクセス

  2. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  3. 野村総合研究所と NRIフィナンシャル・グラフィックスの再委託先が使用する入力補助ツール「Jijilla」に身代金要求を伴う不正アクセス

    野村総合研究所と NRIフィナンシャル・グラフィックスの再委託先が使用する入力補助ツール「Jijilla」に身代金要求を伴う不正アクセス

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. Wing FTP Server における遠隔からの任意のコード実行が可能となる NULL バイト処理の不備(Scan Tech Report)

    Wing FTP Server における遠隔からの任意のコード実行が可能となる NULL バイト処理の不備(Scan Tech Report)

ランキングをもっと見る
PageTop