Aterm SA3500G における複数の脆弱性

掲載番号:NV20-018
脆弱性情報識別番号:JVN#55917325

概要

Aterm SA3500Gには複数の脆弱性が存在します。
・OS コマンドインジェクション（CVE-2020-5635） - 特定のURLに対して細工されたリクエストを送信されることで任意のコマンドを実行される可能性があります。
・OS コマンドインジェクション（CVE-2020-5636） - 特定のURLに対して細工されたリクエストを送信することで任意のコマンドを実行される可能性があります。
・ダウンロードしたファイルの完全性検証不備（CVE-2020-5637） - 管理ページにアクセスした攻撃者によって、悪意のあるプログラムを実行される可能性があります。

対象製品

Atermシリーズ

影響の有無

影響あり

対象となる製品のバージョン

Aterm SA3500G ファームウェア Ver3.5.9 およびそれ以前の全てのバージョン

対処方法

以下のページを参照してファームウェアを最新版にアップデートしてください。https://www.necplatforms.co.jp/product/security_ap/info_20201211.html

参考情報

JVN#55917325
https://jvn.jp/jp/JVN55917325/index.html

謝辞

本脆弱性の発見者であるネットエージェント株式会社 (現・株式会社ラック) 吉越舟様、平井成様に厚く御礼申し上げます。

更新情報

2020/12/18: Atermシリーズを登録しました。

サイト内の現在位置