Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2023-43627: 【重要】無線LANアクセスポイント「STモード」における複数の脆弱性と対処方法について | 業務用wifi(無線lan)のフルノシステムズ

Path traversal vulnerability in ACERA 1320 firmware ver.01.26 and earlier, and ACERA 1310 firmware ver.01.26 and earlier allows a network-adjacent authenticated attacker to alter critical information such as system files by sending a specially crafted request. They are affected when running in ST(Standalone) mode.

CVE
#vulnerability#web#mac#acer#auth#wifi

平素は、弊社製品をご愛用頂きまして誠にありがとうございます。
弊社無線LANアクセスポイントにおきまして、 「STモード」で使用した場合、複数の脆弱性があることが判明いたしました。
(注:弊社無線LANアクセスポイントを「MSモード」で使用した場合は、今回判明した脆弱性はございません)

つきましては、下記の対処方法にしたがって、対処をお願いいたします。なお、保守期間が既に終了している機種につきましては、製品の使用中止を推奨いたします。弊社「サポート基本ポリシー」をご理解いただき、後継機種への移行をご検討ください。

この度は、お客様に大変ご迷惑をおかけしますことを深くお詫び申し上げます。
何卒ご理解とご協力を賜りますようお願い申し上げます。

****<判明した脆弱性について>****

脆弱性① OSコマンドインジェクション(CWE-78):CVE-2023-39222
*当該製品にログインしたユーザにより、細工されたリクエストを送られた場合、ウェブインターフェースから実行することが想定されていない任意のOSコマンドを実行される可能性があります

脆弱性② クロスサイト・スクリプティング(CWE-79):CVE-2023-39429
*当該製品のユーザが細工した設定を行った場合、当該製品にログインした他ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります

脆弱性③クロスサイトリクエストフォージェリ(CWE-352):CVE-2023-41086
*当該製品にログインした状態のユーザが、外部の細工されたページにアクセスした場合、当該製品に対して意図しない操作をさせられる可能性があります

脆弱性④ 認証回避(CWE-288):CVE-2023-42771
*当該製品にアクセス可能な第三者によって、設定ファイルやログファイルをダウンロードされたり、設定ファイルやファームウェアをアップロードされる可能性があります

脆弱性⑤パストラバーサル(CWE-22):CVE-2023-43627
*当該製品にログインしたユーザにより、細工されたリクエストを送られた場合、システムファイルなどの重要情報が改ざんされる可能性があります

<対処方法>

対象製品群1 <保守対象機種>

下表の対象製品をご使用の場合は、対策ファームウェアを弊社ホームページからダウンロードいただき、ファームウェアアップデートをお願いいたします。なお、ファームウェアアップデートを実施せずにご使用になられる場合は、 <軽減策のご案内> に記載した内容の実施をお願いいたします。

対象製品

脆弱性①

脆弱性②

脆弱性③

脆弱性④

脆弱性⑤

対策ファームウェア

ACERA 1310

該当

-

-

該当

該当

ver.01.41

ACERA 1320

該当

-

-

該当

該当

ver.01.41

ACERA 1210

該当

該当

該当

-

-

ver.02.40

ACERA 1150i

該当

該当

該当

-

-

ver.01.40

ACERA 1150w

該当

該当

該当

-

-

ver.01.40

ACERA 1110

該当

該当

該当

-

-

ver.01.80

ACERA 1020

該当

該当

該当

-

-

ver.01.90

ACERA 1010

該当

該当

該当

-

-

ver.01.90

ACERA 950

該当

該当

該当

-

-

ver.01.70

ACERA 850F

該当

該当

該当

-

-

ver.01.70

対象製品群2 <保守終了機種>

下表の対象製品については、保守期間は既に終了しているため、対策として製品の使用中止を推奨いたします。また、新製品への移行をご検討ください。やむを得ずそのままご使用になられる場合は、 <軽減策のご案内> に記載内容の実施をお願いいたします。

対象製品

脆弱性①

脆弱性②

脆弱性③

脆弱性④

脆弱性⑤

保守終了月

ACERA 900

該当

該当

該当

-

-

2022年2月

ACERA 850M

該当

該当

該当

-

-

2022年9月

ACERA 810

該当

該当

該当

-

-

2022年4月

ACERA 800ST

該当

該当

該当

-

-

2022年4月

****<軽減策のご案内>****

全脆弱性共通の軽減策

ログインID/パスワードの変更
 * Web設定画面へのログインID、パスワードをデフォルト値から変更してください
 * 一般的なパスワード生成ツールにより複雑性の高いパスワードを設定して頂くことを推奨します

無線LANアクセスポイントでのアクセス制限 ※
 * MAC アドレスフィルタリング機能にてアクセスを許可する端末のMAC アドレスを制限してください
 * 無線セパレータ機能による接続端末の通信制限をしてください
 * IPマスカレード設定の有線LANフィルタ機能により有線側からACERAへのアクセスを禁止してください
 ※アクセス制限方法につきましては、取扱説明書をご覧ください

ネットワーク機器でのアクセス制限
 * ネットワーク機器によりWAN 側および LAN 側でアクセス許可しているIPセグメント以外からのアクセスを禁止してください

脆弱性③ クロスサイトリクエストフォージェリ(CWE-352)の軽減策

使用上のご注意
 * Web設定画面へログインしている間、他のWebサイトにアクセスしないでください
 * Web設定画面の操作終了後は、Webブラウザを終了してください

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE-2023-6905
CVE-2023-6903
CVE-2023-6904
CVE-2023-3907