ニュース
複数のD-Link製Wi-Fiルーターにコマンドインジェクションの脆弱性、「DIR-652」などすでにサポート終了の製品
2019年10月24日 19:57
D-Link製の複数のWi-Fiルーターにコマンドインジェクションの脆弱性(CVE-2019-16920)が存在するとして、独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する、Japan Vulnerability Notes(JVN)が情報を公開した。
脆弱性の影響を受ける製品は以下の通り。
- DIR-655
- DIR-866L
- DIR-652
- DHP-1565
- DIR-855L
- DAP-1533
- DIR-862L
- DIR-615
- DIR-835
- DIR-825
JVNが公開した情報によると、D-Link製Wi-Fiルーターでは、「/apply_sec.cgi」でアクセス可能なCGIとして「/www/cgi/ssi」が用意されているが、このCGIコードには、1)「apply_sec.cgi」コードに認証されていないユーザーがアクセス可能な問題、2)「ping_test」が引数「ping_ipaddr」に含まれる改行文字を適切に処理できない問題が存在するという。
想定される影響としては、遠隔の第三者によって、ルート権限で任意のコマンドを実行される可能性がある。
対策方法は10月24日時点で不明としているが、該当製品はすでに製品サポートが終了しているため、利用を停止して後続製品への乗り換えなどを検討するよう促している。