Atermシリーズにおける複数のOSコマンドインジェクション

掲載番号:NV20-005
脆弱性情報識別番号:JVN#25766797

概要

UPnP 機能における OS コマンドインジェクション - CVE-2020-5524
・本製品が提供しているUPnP機能において、root権限で任意のOSコマンドインジェクションが可能な脆弱性が存在しています。

管理画面における OS コマンドインジェクション - CVE-2020-5525
・本製品の管理画面にアクセス可能なユーザによって、root権限で任意のOSコマンドインジェクションが可能な脆弱性が存在しています。

対象製品

Atermシリーズ

影響の有無

影響あり

対象となる製品のバージョン

WF1200CR: ～Ver1.2.1
WG1200CR: ～Ver1.2.1
WG2600HS: ～Ver1.3.2

対処方法

開発者が提供する情報をもとに、修正バージョンへアップデートしてください。
https://www.aterm.jp/support/tech/2020/0219.html

参考情報

・Japan Vulnerability Notes
https://jvn.jp/jp/JVN25766797/

・CVE
https://www.cve.org/CVERecord?id=CVE-2020-5524
https://www.cve.org/CVERecord?id=CVE-2020-5525

謝辞

本脆弱性の発見者である日本電信電話株式会社藤田倫太朗様神山貴幸様に厚く御礼申し上げます。

更新情報

2020/02/19: Atermシリーズを登録しました。

サイト内の現在位置