バッファロー製ネットワーク機器に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月7日、バッファロー製ネットワーク機器における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。NeroTeam Security LabsのThomas J. Knudsen 氏、Samy Younsi 氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-26588、CVE-2023-24544
BS-GSL2024 ファームウェア Ver. 1.10-0.03 およびそれ以前
BS-GSL2016P ファームウェア Ver. 1.10-0.03 およびそれ以前
BS-GSL2016 ファームウェア Ver. 1.10-0.03 およびそれ以前
BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前

・CVE-2023-24464
BS-GS2008 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2048 ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2008P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2016P ファームウェア Ver. 1.0.10.01 およびそれ以前
BS-GS2024P ファームウェア Ver. 1.0.10.01 およびそれ以前

　株式会社バッファローが提供する複数のネットワーク機器には、次のような影響を受ける脆弱性が存在する。

・ハードコードされた認証情報の使用（CVE-2023-26588）
→当該製品のデバッグ機能にアクセスされる

・不適切なアクセス制御（CVE-2023-24544）
→当該製品の特定ファイルを窃取され、結果として製品の設定を不正に変更される

・格納型クロスサイトスクリプティング（CVE-2023-24464）
→Web管理画面にアクセス可能な攻撃者によって、正規ユーザのウェブブラウザ上で任意のJavaScriptを実行される

　JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。