アイ・オー・データ機器「RECBOX」の一部機種にCSRFの脆弱性、コンテンツが削除される可能性

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は8日、アイ・オー・データ機器のテレビ録画用ハードディスク「RECBOX」のうち、「HVL-A」「HVL-AT」「HVL-ATA」の各シリーズにクロスサイトリクエストフォージェリ（CSRF）の脆弱性が存在することを公表した。影響を受けるのは、各製品ともファームウェアバージョン「2.03」以前。アイ・オー・データ機器では、最新ファームウェア「Ver.2.04」への更新を推奨している。

　公表されたのは、上記製品のウェブ管理画面に存在するCSRFの脆弱性「CVE-2016-4845」。ユーザーが細工されたページにアクセスした場合、製品に保存された任意のコンテンツが削除される可能性がある。共通脆弱性評価システムCVSS v3による脆弱性評価は4.3。

　本脆弱性の対象となる製品は、2013～2014年に発売された「RECBOX」のみ。「HVL-A」シリーズは2015年3月に、「HVL-AT」シリーズは2015年7月に、「HVL-ATA」シリーズは2015年12月に、すでに生産を終了している。