独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月2日、株式会社フルノシステムズが提供する無線LANアクセスポイント(AP)製品(STモード利用時)に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
確認された脆弱性は次の通り。
・OSコマンドインジェクション(CVE-2023-39222)
CVSS v3・CVSS:3.0による基本値:6.8
・クロスサイトスクリプティング(CVE-2023-39429)
CVSS v3・CVSS:3.0による基本値:7.6
・クロスサイトリクエストフォージェリ(CVE-2023-41086)
CVSS v3・CVSS:3.0による基本値:7.5
・認証回避(CVE-2023-42771)
CVSS v3・CVSS:3.0による基本値:8.3
・パストラバーサル(CVE-2023-43627)
CVSS v3・CVSS:3.0による基本値:6.8
影響を受けるシステムは次の通り。
・CVE-2023-39222、CVE-2023-39429、CVE-2023-41086
ACERA 1210 ver.02.36およびそれ以前のファームウェアバージョン
ACERA 1150i ver.01.35およびそれ以前のファームウェアバージョン
ACERA 1150w ver.01.35およびそれ以前のファームウェアバージョン
ACERA 1110 ver.01.76およびそれ以前のファームウェアバージョン
ACERA 1020 ver.01.86およびそれ以前のファームウェアバージョン
ACERA 1010 ver.01.86およびそれ以前のファームウェアバージョン
ACERA 950 ver.01.60およびそれ以前のファームウェアバージョン
ACERA 850F ver.01.60およびそれ以前のファームウェアバージョン
ACERA 900 ver.02.54およびそれ以前のファームウェアバージョン
ACERA 850M ver.02.06およびそれ以前のファームウェアバージョン
ACERA 810 ver.03.74およびそれ以前のファームウェアバージョン
ACERA 800ST ver.07.35およびそれ以前のファームウェアバージョン
・CVE-2023-39222、CVE-2023-42771、CVE-2023-43627
ACERA 1320 ver.01.26およびそれ以前のファームウェアバージョン
ACERA 1310 ver.01.26およびそれ以前のファームウェアバージョン
これらの脆弱性により、次のような影響を受ける可能性がある。
・当該製品にログインしたユーザにより、細工されたリクエストを送られた場合、ウェブインターフェースから実行することが想定されていない任意のOSコマンドを実行される(CVE-2023-39222)
・当該製品のユーザが細工した設定を行った場合、当該製品にログインした他ユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-39429)
・当該製品にログインした状態のユーザが、外部の細工されたページにアクセスした場合、当該製品に対して意図しない操作をさせられる(CVE-2023-41086)
・当該製品にアクセス可能な第三者によって、設定ファイルやログファイルをダウンロードされたり、設定ファイルやファームウェアをアップロードされる(CVE-2023-42771)
・当該製品にログインしたユーザにより、細工されたリクエストを送られた場合、システムファイルなどの重要情報が改ざんされる(CVE-2023-43627)
JVNでは、開発者が提供する情報をもとに、ファームウェアをアップデートするよう呼びかけている。また開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しているため、対象製品は使用を停止するよう推奨している。
OSコマンドインジェクションの脆弱性(CVE-2023-39222)については、株式会社ゼロゼロワンの佐藤勝彦(goroh_kun)氏がJPCERT/CCに報告を行った。
