製品・ソフトウェアに関する情報

JVN脆弱性詳細

Compal Broadband Networks の CH6640E および CG6640E Wireless Gateway ハードウェアのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性

Title	Compal Broadband Networks の CH6640E および CG6640E Wireless Gateway ハードウェアのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	Compal Broadband Networks (CBN) の CH6640E および CG6640E Wireless Gateway ハードウェアのファームウェアには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、管理者の認証をハイジャックされ、以下の影響を受ける可能性があります。 (1) basicDDNS.html へのリクエストを介して、DDNS の設定に不特定の影響を受ける。 (2) setWirelessSecurity.html の psKey パラメータを介して、wifi のパスワードを変更される。 (3) setBasicDHCP1.html の add_static アクションの MacAddress パラメータを介して、静的 MAC アドレスを追加される。 (4) setAdvancedOptions.html の apply クションの UPnP パラメータを介して、UPnP を有効または無効にされる。
Solution	参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 27, 2014, midnight
Registration Date	Nov. 7, 2014, 2:16 p.m.
Last Update	Nov. 7, 2014, 2:16 p.m.

Affected System

Compal Broadband Networks

CG6640E Wireless Gateway 1.0

CH6640E Wireless Gateway 1.0

Compal Broadband Networks firmware CH6640-3.5.11.7-NOSH

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-8654	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8654
National Vulnerability Database (NVD)
2	CVE-2014-8654	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8654

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Compal Broadband Networks
1	Top Page	http://www.icbn.com.tw/

その他

No	Name	URL
関連文書
1	CBN CH6640E/CG6640E Wireless Gateway Series Multiple Vulnerabilities	http://www.exploit-db.com/exploits/35075/

Change Log

No	Changed Details	Date of change
0	[2014年11月07日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-8654

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities in Compal Broadband Networks (CBN) CH6640E and CG6640E Wireless Gateway hardware 1.0 with firmware CH6640-3.5.11.7-NOSH allow remote attackers to hijack the authentication of administrators for requests that (1) have unspecified impact on DDNS configuration via a request to basicDDNS.html, (2) change the wifi password via the psKey parameter to setWirelessSecurity.html, (3) add a static MAC address via the MacAddress parameter in an add_static action to setBasicDHCP1.html, or (4) enable or disable UPnP via the UPnP parameter in an apply action to setAdvancedOptions.html.
Publication Date	Nov. 7, 2014, 12:55 a.m.
Registration Date	Jan. 26, 2021, 3:21 p.m.
Last Update	Nov. 21, 2024, 11:19 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:compal_broadband_networks:firmware:ch6640-3.5.11.7-nosh:::::::*
cpe:2.3:h:compal_broadband_networks:cg6640e_wireless_gateway:1.0:::::::*
cpe:2.3:h:compal_broadband_networks:ch664oe_wireless_gateway:1.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://osvdb.org/show/osvdb/113840
2	http://osvdb.org/show/osvdb/113840
3	http://osvdb.org/show/osvdb/113841
4	http://osvdb.org/show/osvdb/113841
5	http://osvdb.org/show/osvdb/113842
6	http://osvdb.org/show/osvdb/113842
7	http://osvdb.org/show/osvdb/113843
8	http://osvdb.org/show/osvdb/113843
9	http://packetstormsecurity.com/files/128860/CBN-CH6640E-CG6640E-Wireless-Gateway-XSS-CSRF-DoS-Disclosure.html	Exploit
10	http://packetstormsecurity.com/files/128860/CBN-CH6640E-CG6640E-Wireless-Gateway-XSS-CSRF-DoS-Disclosure.html	Exploit
11	http://www.exploit-db.com/exploits/35075	Exploit
12	http://www.exploit-db.com/exploits/35075	Exploit
13	http://www.securityfocus.com/bid/70762
14	http://www.securityfocus.com/bid/70762
15	http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5203.php	Exploit
16	http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5203.php	Exploit
17	https://exchange.xforce.ibmcloud.com/vulnerabilities/98329
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/98329

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html