NVD Vulnerability Detail

CVE-2017-2162

Summary	FlashAirTM SDHC Memory Card (SD-WE Series <W-03>) V3.00.02 and earlier and FlashAirTM SDHC Memory Card (SD-WD/WC Series <W-02>) V2.00.04 and earlier allows default credentials to be set for wireless LAN connections to the product when enabling the PhotoShare function through a web browser.
Publication Date	May 23, 2017, 1:29 a.m.
Registration Date	Jan. 26, 2021, 1:21 p.m.
Last Update	Nov. 21, 2024, 12:23 p.m.

CVSS3.0 : MEDIUM
スコア	4.3
Vector	CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
攻撃元区分(AV)	隣接
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし

CVSS2.0 : LOW
Score	3.3
Vector	AV:A/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	隣接
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:toshiba:flashair::::::::		3.00.02
cpe:2.3:a:toshiba:flashair::::::::		2.00.04

Related information, measures and tools

No	URL	タグ
1	http://jvndb.jvn.jp/jvndb/JVNDB-2017-000091	Third Party Advisory VDB Entry
2	http://jvndb.jvn.jp/jvndb/JVNDB-2017-000091	Third Party Advisory VDB Entry
3	http://www.toshiba-personalstorage.net/news/20170516a.htm	Vendor Advisory
4	http://www.toshiba-personalstorage.net/news/20170516a.htm	Vendor Advisory
5	https://jvn.jp/en/jp/JVN81820501/index.html	Third Party Advisory VDB Entry
6	https://jvn.jp/en/jp/JVN81820501/index.html	Third Party Advisory VDB Entry

Common Vulnerabilities List

JVN Vulnerability Information

FlashAir のフォトシェア機能に SSID およびパスワード固定の脆弱性

Title	FlashAir のフォトシェア機能に SSID およびパスワード固定の脆弱性
Summary	株式会社東芝が提供する FlashAir は、無線 LAN 接続機能を搭載した SDHC メモリカードです。FlashAir のフォトシェア機能では、FlashAir の初期設定による無線 LAN とは別の設定の、フォトシェア専用の無線 LAN に切り替わり、特定のフォルダ内の写真を他ユーザと共有することができます。専用アプリからフォトシェアを開始する際には、フォトシェア専用の無線 LAN の設定を行うよう誘導されます。一方、ウェブブラウザからの操作でフォトシェアを開始する際には、フォトシェア専用の無線 LAN 設定を行うことができず、固定された設定の無線 LAN が有効になります。その結果、当該無線 LAN にアクセス可能な第三者により、共有している写真データを閲覧されてしまいます (CWE-284)。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社諌山貴由氏
Possible impacts	ウェブブラウザからの操作でフォトシェアを開始した場合、無線 LAN に接続可能な第三者によって、フォトシェアで共有しているデータを閲覧されてしまう可能性があります。
Solution	[フォトシェアを開始する際には専用アプリを使用する] フォトシェア機能を使用する際には、意図しない第三者によるアクセスを防ぐため、専用アプリを使用して SSID とパスワードを変更してください。なお、開発者によると、次のバージョン以降においては、ウェブブラウザからの操作でフォトシェアを開始できないように機能を制限しているとのことです。・FlashAir SDHCメモリカード（SD-WEシリーズ＜W-03＞） V3.00.02 ・FlashAir SDHCメモリカード（SD-WD/WCシリーズ＜W-02＞） V2.00.04
Publication Date	May 16, 2017, midnight
Registration Date	May 16, 2017, 2:04 p.m.
Last Update	Dec. 21, 2017, 7:10 p.m.

Affected System

東芝

FlashAir SDHCメモリカード（SD-WD/WCシリーズ＜W-02＞） V2.00.03 およびそれ以前

FlashAir SDHCメモリカード（SD-WEシリーズ＜W-03＞） V3.00.01 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-2162	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2162
National Vulnerability Database (NVD)
2	CVE-2017-2162	https://nvd.nist.gov/vuln/detail/CVE-2017-2162

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
東芝
1	FlashAir SDHCメモリカード（SD-WD/WCシリーズ＜W-02＞）	http://www.toshiba-personalstorage.net/endproduct/flashair/index_j.htm
2	FlashAir SDHCメモリカード（SD-WEシリーズ＜W-03＞）	http://www.toshiba-personalstorage.net/product/flashair/index_j.htm
3	FlashAir のフォトシェア機能におけるパスワードの固定の脆弱性について	http://www.toshiba-personalstorage.net/news/20170516a.htm
4	フォトシェア機能の使い方	http://www.toshiba-personalstorage.net/support/manual/flashair/wewdwc/photoshare.htm

その他

No	Name	URL
JVN
1	JVN#81820501	https://jvn.jp/jp/JVN81820501/index.html

Change Log

No	Changed Details	Date of change
0	[2017年05月16日] 掲載 [2017年12月21日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-2162) を追加	Feb. 17, 2018, 10:37 a.m.