NVD脆弱性詳細

CVE-2017-2162

概要	FlashAirTM SDHC Memory Card (SD-WE Series <W-03>) V3.00.02 and earlier and FlashAirTM SDHC Memory Card (SD-WD/WC Series <W-02>) V2.00.04 and earlier allows default credentials to be set for wireless LAN connections to the product when enabling the PhotoShare function through a web browser.
公表日	2017年5月23日1:29
登録日	2021年1月26日13:21
最終更新日	2024年11月21日12:23

CVSS3.0 : MEDIUM
スコア	4.3
ベクター	CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
攻撃元区分(AV)	隣接
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし

CVSS2.0 : LOW
スコア	3.3
ベクター	AV:A/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	隣接
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:toshiba:flashair::::::::		3.00.02
cpe:2.3:a:toshiba:flashair::::::::		2.00.04

関連情報、対策とツール

No	URL	タグ
1	http://jvndb.jvn.jp/jvndb/JVNDB-2017-000091	Third Party Advisory VDB Entry
2	http://jvndb.jvn.jp/jvndb/JVNDB-2017-000091	Third Party Advisory VDB Entry
3	http://www.toshiba-personalstorage.net/news/20170516a.htm	Vendor Advisory
4	http://www.toshiba-personalstorage.net/news/20170516a.htm	Vendor Advisory
5	https://jvn.jp/en/jp/JVN81820501/index.html	Third Party Advisory VDB Entry
6	https://jvn.jp/en/jp/JVN81820501/index.html	Third Party Advisory VDB Entry

共通脆弱性一覧

JVN脆弱性情報

FlashAir のフォトシェア機能に SSID およびパスワード固定の脆弱性

タイトル	FlashAir のフォトシェア機能に SSID およびパスワード固定の脆弱性
概要	株式会社東芝が提供する FlashAir は、無線 LAN 接続機能を搭載した SDHC メモリカードです。FlashAir のフォトシェア機能では、FlashAir の初期設定による無線 LAN とは別の設定の、フォトシェア専用の無線 LAN に切り替わり、特定のフォルダ内の写真を他ユーザと共有することができます。専用アプリからフォトシェアを開始する際には、フォトシェア専用の無線 LAN の設定を行うよう誘導されます。一方、ウェブブラウザからの操作でフォトシェアを開始する際には、フォトシェア専用の無線 LAN 設定を行うことができず、固定された設定の無線 LAN が有効になります。その結果、当該無線 LAN にアクセス可能な第三者により、共有している写真データを閲覧されてしまいます (CWE-284)。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社諌山貴由氏
想定される影響	ウェブブラウザからの操作でフォトシェアを開始した場合、無線 LAN に接続可能な第三者によって、フォトシェアで共有しているデータを閲覧されてしまう可能性があります。
対策	[フォトシェアを開始する際には専用アプリを使用する] フォトシェア機能を使用する際には、意図しない第三者によるアクセスを防ぐため、専用アプリを使用して SSID とパスワードを変更してください。なお、開発者によると、次のバージョン以降においては、ウェブブラウザからの操作でフォトシェアを開始できないように機能を制限しているとのことです。・FlashAir SDHCメモリカード（SD-WEシリーズ＜W-03＞） V3.00.02 ・FlashAir SDHCメモリカード（SD-WD/WCシリーズ＜W-02＞） V2.00.04
公表日	2017年5月16日0:00
登録日	2017年5月16日14:04
最終更新日	2017年12月21日19:10

影響を受けるシステム

東芝

FlashAir SDHCメモリカード（SD-WD/WCシリーズ＜W-02＞） V2.00.03 およびそれ以前

FlashAir SDHCメモリカード（SD-WEシリーズ＜W-03＞） V3.00.01 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-2162	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2162
National Vulnerability Database (NVD)
2	CVE-2017-2162	https://nvd.nist.gov/vuln/detail/CVE-2017-2162

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
東芝
1	FlashAir SDHCメモリカード（SD-WD/WCシリーズ＜W-02＞）	http://www.toshiba-personalstorage.net/endproduct/flashair/index_j.htm
2	FlashAir SDHCメモリカード（SD-WEシリーズ＜W-03＞）	http://www.toshiba-personalstorage.net/product/flashair/index_j.htm
3	FlashAir のフォトシェア機能におけるパスワードの固定の脆弱性について	http://www.toshiba-personalstorage.net/news/20170516a.htm
4	フォトシェア機能の使い方	http://www.toshiba-personalstorage.net/support/manual/flashair/wewdwc/photoshare.htm

その他

No	名前	URL
JVN
1	JVN#81820501	https://jvn.jp/jp/JVN81820501/index.html

変更履歴

No	変更内容	変更日
0	[2017年05月16日] 掲載 [2017年12月21日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-2162) を追加	2018年2月17日10:37