ニュース

バッファローの無線LANカメラにXSSやCSRFなど複数の脆弱性

 独立行政法人情報処理推進機構(IPA)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、バッファローの無線LAN対応ネットワークカメラ「WNC01WH」に6つの脆弱性が見つかったことを公表した。最新ファームウェアの適用が推奨されている。

 WNC01WHに見つかった6件は、サービス運用妨害(DoS)の脆弱性(CVE-2016-7821)、クロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2016-7822)、格納型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2016-7823)、デバッグオプションの有効化における脆弱性(CVE-2016-7824)、コマンドの処理に起因するディレクトリトラバーサルの脆弱性(CVE-2016-7825)、POSTリクエストの処理に起因するディレクトリトラバーサルの脆弱性(CVE-2016-7826)。これらのうち、共通脆弱性評価システムCVSS v3のスコアが最も高いのはXSSで7.1となる。

 製品にアクセス可能な第三者により、機能停止やシステム破壊といった攻撃を受ける可能性があるほか、製品の設定画面へのログインパスワードが第三者に知られている場合には、設定画面の入力フォームに悪意のあるスクリプトを埋め込まれる可能性がある。また、ウェブブラウザーで製品の設定画面にログインした状態で細工されたウェブサイトを表示すると、製品の設定に意図しない変更を加えられたり、情報が取得されたりする可能性がある。

 バッファローでは1日より、脆弱性を修正したファームウェアバージョン「1.0.0.9」の提供を開始している。