エレコムの「WRC-X3000GS2」など5製品に複数の脆弱性、最新版ファームウェアへのアップデートを

WRC-X3000GS2-B

　エレコムのWi-Fiルーターなど5製品に脆弱性があるとして、脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が8月27日に情報を公開した。エレコムでも情報を公開しており、いずれも最新版のファームウェアに更新することで対策できる。

　情報が公開された脆弱性は、次の3種（CVEでは4点）。

easysetup.cgiおよびmenu.cgiの入力値処理の不備に起因するクロスサイトスクリプティング（CVE-2024-34577、CVE-2024-42412）

　当該製品にログインした状態のユーザーが細工されたウェブページにアクセスした場合、ユーザのウェブブラウザー上で任意のスクリプトを実行される可能性がある。CVSS v3のスコアは6.1。

Telnet機能における認証の欠如（CVE-2024-39300）

　Telnet機能を有効にしている場合、遠隔の第三者によって認証無しでログインされ、当該製品の設定を変更される可能性がある。CVSS v3のスコアは8.1。

common.cgiの入力値処理の不備に起因するスタックベースのバッファオーバーフロー（CVE-2024-43689）

　細工されたHTTPリクエストを処理することで、任意のコードを実行される可能性がある。CVSS v3のスコアは8.8。

　脆弱性が存在する製品およびファームウェアのバージョンは、次の5製品。

• WRC-X3000GS2-B v1.08以前（CVE-2024-34577）
• WRC-X3000GS2-W v1.08以前（CVE-2024-34577）
• WRC-X3000GS2A-B v1.08以前（CVE-2024-34577）
• WAB-I1750-PS v1.5.10以前（CVE-2024-39300、CVE-2024-42412、CVE-2024-43689）
• WAB-S1167-PS v1.5.6以前（CVE-2024-42412、CVE-2024-43689）

　JVNでは、本件「JVN#24885537」の新規公開と同時に、エレコム製品に関する過去に公開された情報の更新も行っている。