製品・ソフトウェアに関する情報

JVN脆弱性詳細

D-Link DIR-600 ルータのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性

Title	D-Link DIR-600 ルータのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	D-Link DIR-600 ルータ (rev. Bx) のファームウェアには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、管理者の認証をハイジャックされ、以下の影響を受ける可能性があります。 (1) hedwig.cgi の巧妙に細工された設定モジュールを介して、管理者アカウントを作成される (2) hedwig.cgi の巧妙に細工された設定モジュールを介して、リモート管理を有効にされる (3) pigwidgeon.cgi の SETCFG、SAVE、ACTIVATE アクションを介して、新しい構成設定を有効にされる (4) diagnostic.php の ping アクションを介して、ping を送信される
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 7, 2014, midnight
Registration Date	Jan. 15, 2015, 7:03 p.m.
Last Update	Jan. 15, 2015, 7:03 p.m.

Affected System

D-Link Systems, Inc.

DIR-600

DIR-600 ファームウェア 2.17b02 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-100005	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-100005
National Vulnerability Database (NVD)
2	CVE-2014-100005	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-100005

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Security Advisories
1	SAP10018	http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10018

その他

No	Name	URL
関連文書
1	From CSRF to Unauthorized Remote Admin Access	http://resources.infosecinstitute.com/csrf-unauthorized-remote-admin-access/

Change Log

No	Changed Details	Date of change
0	[2015年01月15日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-100005

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities in D-Link DIR-600 router (rev. Bx) with firmware before 2.17b02 allow remote attackers to hijack the authentication of administrators for requests that (1) create an administrator account or (2) enable remote management via a crafted configuration module to hedwig.cgi, (3) activate new configuration settings via a SETCFG,SAVE,ACTIVATE action to pigwidgeon.cgi, or (4) send a ping via a ping action to diagnostic.php.
Summary	Múltiples vulnerabilidades de CSRF en el router D-Link DIR-600 (rev. Bx) con firmware anterior a 2.17b02 permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que (1) crean una cuenta de administrador o (2) habilitan la gestión remota a través de un módulo de configuración manipulado en hedwig.cgi, (3) activan nuevos ajustes de configuraciones a través de una acción SETCFG,SAVE,ACTIVATE en pigwidgeon.cgi, o (4) envían un ping a través de una acción ping en diagnostic.php.
Publication Date	Jan. 13, 2015, 8:59 p.m.
Registration Date	Jan. 26, 2021, 3:06 p.m.
Last Update	April 22, 2026, 10:57 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:dlink:dir-600_firmware::::::::			2.16ww

Configuration2		or higher	or less	more than	less than

Related information, measures and tools

No	URL	refsource
1	http://resources.infosecinstitute.com/csrf-unauthorized-remote-admin-access/	cve@mitre.org
2	http://secunia.com/advisories/57304	cve@mitre.org
3	http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10018	cve@mitre.org
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/91794	cve@mitre.org
5	http://resources.infosecinstitute.com/csrf-unauthorized-remote-admin-access/	af854a3a-2127-422b-91ae-364da2661108
6	http://secunia.com/advisories/57304	af854a3a-2127-422b-91ae-364da2661108
7	http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10018	af854a3a-2127-422b-91ae-364da2661108
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/91794	af854a3a-2127-422b-91ae-364da2661108
9	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-100005	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html