サイト内の現在位置

Aterm シリーズ における複数の脆弱性

掲載番号:NV21-005
脆弱性情報識別番号:JVN#38248512

概要

Aterm シリーズ には複数の脆弱性が存在します。

Aterm WF800HP
・当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-20620

Aterm WG2600HP および Aterm WG2600HP2
・遠隔の第三者によって、当該製品に保存されている設定情報を窃取されたり、変更されたりする - CVE-2017-12575
・当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2021-20621
・当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-20622

対象製品

Aterm

影響の有無

影響あり

対象となる製品のバージョン

Aterm WF800HP 全てのバージョン
Aterm WG2600HP ファームウェア Ver.1.0.13およびそれ以前
Aterm WG2600HP2 ファームウェア Ver.1.0.3およびそれ以前

対処方法

以下のページを参照してファームウェアを最新版にアップデートしてください。Aterm WF800HPは回避策を適用してください。
https://www.aterm.jp/support/tech/2019/0328.html

なお、それぞれのCVEは以下のように対応します。
CVE-2021-20620 - 現象2
CVE-2017-12575 - 現象2
CVE-2021-20621 - 現象1
CVE-2021-20622 - 現象2

参考情報

JVN#38248512
https://jvn.jp/jp/JVN38248512/index.html

Aterm WF800HP/WG2600HP/WG2600HP2における脆弱性問題(JVN#38248512 公開日:2021/01/22)についてのお知らせ
https://www.aterm.jp/product/atermstation/info/2021/info0201b.html

謝辞

本脆弱性の発見者である サイバーディフェンス研究所 永岡 悟 様、岩崎 徳明 様 に厚く御礼申し上げます。

更新情報

2021/02/02
影響を受けるバージョンを修正しました。
2021/01/22
Atermシリーズ を登録しました。