ニュース
ASUSのWi-Fiルーター「RT-AX3000」にSecure属性なしのCookieを使用する脆弱性、対策ファームウェアへの更新を
2023年6月12日 12:15
ASUS JAPAN株式会社が提供するWi-Fiルーター「RT-AX3000」に、重要なCookieをSecure属性なしで使用している脆弱性があるとして、脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。対策済みファームウェアは公開中で、同サイトではアップデートを呼び掛けている。
対象は、RT-AX3000のファームウェアバージョン3.0.0.4.388.23403より前。重要なCookieをSecure属性なしで使用することで、ユーザが暗号化されていない(httpの) 接続を介して影響を受けるデバイスにログインさせられた場合、中間者攻撃によってセッション情報を窃取される可能性がある。CVEはCVE-2023-31195で、CVSS v3のスコアは3.7。同社のウェブサイトで、対策済のファームウェアバージョン3.0.0.4.388.23403が5月31日付けにて公開されている。