ニュース

アイ・オー・データ機器「RECBOX」の一部機種にCSRFの脆弱性、コンテンツが削除される可能性

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は8日、アイ・オー・データ機器のテレビ録画用ハードディスク「RECBOX」のうち、「HVL-A」「HVL-AT」「HVL-ATA」の各シリーズにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。影響を受けるのは、各製品ともファームウェアバージョン「2.03」以前。アイ・オー・データ機器では、最新ファームウェア「Ver.2.04」への更新を推奨している。

 公表されたのは、上記製品のウェブ管理画面に存在するCSRFの脆弱性「CVE-2016-4845」。ユーザーが細工されたページにアクセスした場合、製品に保存された任意のコンテンツが削除される可能性がある。共通脆弱性評価システムCVSS v3による脆弱性評価は4.3。

 本脆弱性の対象となる製品は、2013~2014年に発売された「RECBOX」のみ。「HVL-A」シリーズは2015年3月に、「HVL-AT」シリーズは2015年7月に、「HVL-ATA」シリーズは2015年12月に、すでに生産を終了している。