バッファローのWi-Fiルーターなど19製品に脆弱性、対策済みファームウェアへのアップデートを

脆弱性が発見されたWXR-11000XE12

　株式会社バッファローが提供するWi-Fiルーターおよび中継機の計19製品に脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が情報を公開した。全製品について対策済みのファームウェアが提供されており、同社では、対策済みの最新版ファームウェアへのアップデートを呼び掛けている。

　発表された脆弱性は次の3種類。バッファローのWi-Fiルーターや中継機におけるこれら3つの脆弱性は、2022年12月時点で発表されており（参考記事）、その時点での対象であった13製品から、バッファローでは継続して情報を更新し、計6製品が追加されたかたちとなる。

1.OSコマンドインジェクション（CVE-2022-43466）

　当該機器の管理画面にログイン可能な第三者によって、特定のCGIプログラムへ細⼯されたリクエストを送信されると、特定の管理画面を開いたときに任意のコマンドが実⾏される可能性がある。CVSS v3のスコアは4.3。

2.OSコマンドインジェクション（CVE-2022-43443）

　当該機器にアクセス可能な第三者によって、管理画面に細工されたリクエストを送信されると、任意のコマンドが実行される可能性がある。CVSS v3のスコアは6.3。

3.ドキュメント化されていないデバッグ機能を有効化される問題（CVE-2022-43486）

　当該機器の管理画面にログイン可能な第三者によって、デバッグ機能が不正に有効化され、任意のコマンドが実行される可能性がある。CVSS v3のスコアは6.8。

　脆弱性の対象となる製品とファームウェアのバージョンは、次のとおり。カッコ内は該当する脆弱性を示す。2022年12月より後に追加された製品は赤字にするとともに最後に「※」を付けている。

Wi-Fiルーター

• WXR-11000XE12 ファームウェア Ver.1.10以前（2）※
• WXR-5700AX7S ファームウェア Ver.1.27以前（1、2、3）※
• WXR-5700AX7B ファームウェアVer.1.27以前（1、2、3）※
• WSR-3200AX4S ファームウェア Ver.1.26以前（1、2、3）
• WSR-3200AX4B ファームウェア Ver.1.25（1、2、3）
• WSR-2533DHP ファームウェア Ver.1.08以前（2、3）
• WSR-2533DHP2 ファームウェア Ver.1.22以前（1、2、3）
• WSR-A2533DHP2 ファームウェア Ver.1.22以前（1、2、3）
• WSR-2533DHP3 ファームウェア Ver.1.26以前（1、2、3）
• WSR-A2533DHP3 ファームウェア Ver.1.26以前（1、2、3）
• WSR-2533DHPL ファームウェア Ver.1.08以前（2、3）
• WSR-2533DHPL2 ファームウェア Ver.1.03以前（1、2、3）
• WSR-2533DHPLS ファームウェア Ver.1.07以前（1、2、3）
• WSR-2533DHPLB ファームウェア Ver.1.05（1、2、3）※
• WSR-1166DHP ファームウェア Ver.1.16以前（2）※
• WSR-1166DHP2 ファームウェア Ver.1.17以前（2）※
• WCR-1166DS ファームウェア Ver.1.34以前（2、3）

Wi-Fi中継機

• WEX-1800AX4 ファームウェア Ver.1.13以前（1、3）
• WEX-1800AX4EA ファームウェア Ver.1.13以前（1、3）