製品・ソフトウェアに関する情報
バッファロー製の複数の有線ブロードバンドルータに複数の脆弱性
Title バッファロー製の複数の有線ブロードバンドルータに複数の脆弱性
Summary

株式会社バッファローが提供する BBR-4HG および BBR-4MG は有線ブロードバンドルータです。 BBR-4HG および BBR-4MG には次の脆弱性が存在します。 ・クロスサイトスクリプティング (CWE-79) - CVE-2017-10896 ・入力値検査不備(CWE-20) - CVE-2017-10897 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 米山俊嗣 氏

Possible impacts 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ・当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ユーザのブラウザ上で任意のスクリプトが実行される - CVE-2017-10896 ・管理画面にて不適切な値を設定された場合に当該製品が応答不能となる - CVE-2017-10897
Solution

[アップデートする] 開発者が提供する情報をもとに、各製品に対応した適切なファームウェアにアップデートしてください。

Publication Date Dec. 1, 2017, midnight
Registration Date Dec. 1, 2017, 3:19 p.m.
Last Update March 14, 2018, 2:14 p.m.
CVSS3.0 : 警告
Score 6.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
Affected System
バッファロー
BUFFALO BBR-4HG ファームウエア 1.00 から 1.48 まで
BUFFALO BBR-4HG ファームウエア 2.00 から 2.07 まで
BUFFALO BBR-4MG ファームウエア 1.00 から 1.48 まで
BUFFALO BBR-4MG ファームウエア 2.00 から 2.07 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2017年12月01日]
  掲載
Feb. 17, 2018, 10:37 a.m.
1 [2018年03月14日]
  参考情報:National Vulnerability Database (NVD) (CVE-2017-10896) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2017-10897) を追加
March 14, 2018, 12:25 p.m.

NVD Vulnerability Information
CVE-2017-10896
Summary

Cross-site scripting vulnerability in Buffalo BBR-4HG and and BBR-4MG broadband routers with firmware 1.00 to 1.48 and 2.00 to 2.07 allows an attacker to inject arbitrary web script or HTML via unspecified vectors.

Publication Date Dec. 9, 2017, 12:29 a.m.
Registration Date Jan. 26, 2021, 1:12 p.m.
Last Update Nov. 21, 2024, 12:06 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:buffalo:bbr-4mg_firmware:*:*:*:*:*:*:*:* 1.00 1.48
cpe:2.3:o:buffalo:bbr-4mg_firmware:*:*:*:*:*:*:*:* 2.00 2.07
execution environment
1 cpe:2.3:h:buffalo:bbr-4mg:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:buffalo:bbr-4hg_firmware:*:*:*:*:*:*:*:* 1.00 1.48
cpe:2.3:o:buffalo:bbr-4hg_firmware:*:*:*:*:*:*:*:* 2.00 2.07
execution environment
1 cpe:2.3:h:buffalo:bbr-4hg:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
CVE-2017-10897
Summary

Input validation issue in Buffalo BBR-4HG and and BBR-4MG broadband routers with firmware 1.00 to 1.48 and 2.00 to 2.07 allows an attacker to cause the device to become unresponsive via unspecified vectors.

Publication Date Dec. 9, 2017, 12:29 a.m.
Registration Date Jan. 26, 2021, 1:12 p.m.
Last Update Nov. 21, 2024, 12:06 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:buffalo:bbr-4mg_firmware:*:*:*:*:*:*:*:* 1.00 1.48
cpe:2.3:o:buffalo:bbr-4mg_firmware:*:*:*:*:*:*:*:* 2.00 2.07
execution environment
1 cpe:2.3:h:buffalo:bbr-4mg:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:buffalo:bbr-4hg_firmware:*:*:*:*:*:*:*:* 1.00 1.48
cpe:2.3:o:buffalo:bbr-4hg_firmware:*:*:*:*:*:*:*:* 2.00 2.07
execution environment
1 cpe:2.3:h:buffalo:bbr-4hg:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List