製品・ソフトウェアに関する情報

JVN脆弱性詳細

バッファロー製の複数の無線 LAN ルータに複数の脆弱性

タイトル	バッファロー製の複数の無線 LAN ルータに複数の脆弱性
概要	株式会社バッファローが提供する WMR-433 および WMR-433W は無線 LAN ルータです。 WMR-433 および WMR-433W には次の脆弱性が存在します。・クロスサイトリクエストフォージェリ (CWE-352) - CVE-2017-2273 ・反射型クロスサイトスクリプティング (CWE-79) - CVE-2017-2274 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 小林学氏
想定される影響	想定される影響は各脆弱性により異なりますが、当該製品にログインした状態のユーザが細工されたページにアクセスした場合、次のような影響を受ける可能性があります。・当該製品の設定を変更させられたり、当該製品を再起動させられたりする - CVE-2017-2273 ・ユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2017-2274
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
公表日	2017年7月20日0:00
登録日	2017年7月20日12:06
最終更新日	2018年1月24日12:32

影響を受けるシステム

バッファロー

WMR-433 ファームウェア Ver.1.02 およびそれ以前

WMR-433W ファームウェア Ver.1.40 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-2273	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2273
2	CVE-2017-2274	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2274
National Vulnerability Database (NVD)
3	CVE-2017-2273	https://nvd.nist.gov/vuln/detail/CVE-2017-2273
4	CVE-2017-2274	https://nvd.nist.gov/vuln/detail/CVE-2017-2274

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html
2	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
BUFFALO
1	Wi-Fiルーター WMR-433 に関する複数の脆弱性	http://buffalo.jp/support_s/s20170606.html

その他

No	名前	URL
JVN
1	JVN#48413726	https://jvn.jp/jp/JVN48413726/index.html

変更履歴

No	変更内容	変更日
0	[2017年07月20日] 掲載 [2018年01月24日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-2273) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-2274) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-2273

概要	Cross-site request forgery (CSRF) vulnerability in WMR-433 firmware Ver.1.02 and earlier, WMR-433W firmware Ver.1.40 and earlier allows remote attackers to hijack the authentication of administrators via unspecified vectors.
公表日	2017年7月22日9:29
登録日	2021年1月26日13:21
最終更新日	2024年11月21日12:23

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://buffalo.jp/support_s/s20170606.html	Vendor Advisory
2	http://buffalo.jp/support_s/s20170606.html	Vendor Advisory
3	https://jvn.jp/en/jp/JVN48413726/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN48413726/index.html	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

CVE-2017-2274

概要	Cross-site scripting vulnerability in WMR-433 firmware Ver.1.02 and earlier, WMR-433W firmware Ver.1.40 and earlier allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.
公表日	2017年7月22日9:29
登録日	2021年1月26日13:21
最終更新日	2024年11月21日12:23

影響を受けるソフトウェアの構成

No	URL	タグ
1	http://buffalo.jp/support_s/s20170606.html	Patch Vendor Advisory
2	http://buffalo.jp/support_s/s20170606.html	Patch Vendor Advisory
3	https://jvn.jp/en/jp/JVN48413726/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN48413726/index.html	Third Party Advisory VDB Entry