独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月26日、バッファロー製 VR-S1000 における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NeroTeam Security LabsのThomas J. Knudsen氏、Samy Younsi氏、株式会社ラックの飯田雅裕氏が報告を行っている。影響を受けるシステムは以下の通り。
VR-S1000 ファームウェア Ver. 2.37 およびそれ以前
株式会社バッファローが提供する VR-S1000 には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・OS コマンドインジェクション(CVE-2023-45741)
→ Web 管理画面にログイン可能な攻撃者によって任意の OS コマンドを実行される
・引数インジェクション(CVE-2023-46681)
→当該製品のコマンドラインインターフェイスにアクセス可能な攻撃者によって任意のコマンドを実行される
・ハードコードされた暗号鍵の使用(CVE-2023-46711)
→当該製品内の特定ユーザのパスワードを解析される
・情報漏えい(CVE-2023-51363)
→ Web 管理画面にアクセス可能な攻撃者によって機微な情報を窃取される
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。
