製品・ソフトウェアに関する情報

JVN脆弱性詳細

TP-LINK WR1043ND ルータのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性

Title	TP-LINK WR1043ND ルータのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	TP-LINK WR1043ND ルータのファームウェアには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、管理者の認証をハイジャックされ、以下を実行される可能性があります。 (1) userRpm/NasFtpCfgRpm.htm の shareEntire パラメータを介して、/tmp への FTP アクセス (別名 "FTP ディレクトリトラバーサル") を有効にされる (2) userRpm/NasUserAdvRpm.htm の nas_admin_pwd パラメータを介して、FTP 管理パスワードを変更される (3) userRpm/NasFtpCfgRpm.htm の internetA パラメータを介して、WAN インターフェース上の FTP を有効にされる (4) userRpm/NasFtpCfgRpm.htm の startFtp パラメータを介して、FTP サービスを起動される (5) userRpm/QoSCfgRpm.htm の QoSCtrl パラメータを介して、帯域幅の制限を有効または無効にされる
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	April 29, 2013, midnight
Registration Date	Oct. 7, 2014, 4:48 p.m.
Last Update	Oct. 7, 2014, 4:48 p.m.

Affected System

TP-LINK Technologies

TL-WR1043ND ファームウェア V1_120405

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2645	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2645
National Vulnerability Database (NVD)
2	CVE-2013-2645	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2645

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
TP-LINK Technologies
1	TL-WR1043ND	http://www.tp-link.com/lk/search/?keywords=WR1043N

その他

No	Name	URL
関連文書
1	Taking over the TP-LINK WR1043N	http://securityevaluators.com/knowledge/case_studies/routers/tp-link_wr1043n.php

Change Log

No	Changed Details	Date of change
0	[2014年10月07日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-2645

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities on the TP-LINK WR1043N router with firmware TL-WR1043ND_V1_120405 allow remote attackers to hijack the authentication of administrators for requests that (1) enable FTP access (aka "FTP directory traversal") to /tmp via the shareEntire parameter to userRpm/NasFtpCfgRpm.htm, (2) change the FTP administrative password via the nas_admin_pwd parameter to userRpm/NasUserAdvRpm.htm, (3) enable FTP on the WAN interface via the internetA parameter to userRpm/NasFtpCfgRpm.htm, (4) launch the FTP service via the startFtp parameter to userRpm/NasFtpCfgRpm.htm, or (5) enable or disable bandwidth limits via the QoSCtrl parameter to userRpm/QoSCfgRpm.htm.
Publication Date	Oct. 6, 2014, 10:55 a.m.
Registration Date	Jan. 26, 2021, 3:39 p.m.
Last Update	Nov. 21, 2024, 10:52 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:tp-link:firmware:tl-wr1043nd_v1_120405::::::tp-link_wr1043n:

Related information, measures and tools

No	URL	refsource	タグ
1	http://securityevaluators.com/knowledge/case_studies/routers/tp-link_wr1043n.php
2	http://securityevaluators.com/knowledge/case_studies/routers/tp-link_wr1043n.php

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html