JPCERT/CCは8月29日、JVN#69967692「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」を公開しました。
JVN#69967692: ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性
JVNDB-2018-000093 ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性 - JVN iPedia - 脆弱性対策情報データベース
スポンサーリンク
今回確認された脆弱性(CVE-2018-0665・CVE-2018-0666)は
- RTX810:Rev.11.01.31以前
- NVR500:Rev.11.00.36以前
- RT58i:Rev.9.01.51以前
- RT57i:Rev.8.00.95以前
- FWX120:Rev.11.03.25以前
の5製品が対象となり、悪意のある管理者の入力により他の管理者がブラウザから「かんたん設定」を開いた際に任意のスクリプトを実行される可能性があるというものです。
ヤマハも本件に関する情報を公開しており、対策版ファームウェアへの更新、又は「かんたん設定」の停止・アクセス禁止による回避を対策として挙げています。
