脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • WRC-1167GHBK3-A v1.24 およびそれよりも前のバージョン
  • WRC-1167FEBK-A v1.18 およびそれよりも前のバージョン
  • WRC-1167GHBK-S v1.03 およびそれよりも前のバージョン
  • WRC-1167GEBK-S v1.03 およびそれよりも前のバージョン
  • WRH-300WH-H v2.12 およびそれよりも前のバージョン
  • WTC-300HWH v1.09 およびそれよりも前のバージョン
  • WTC-C1167GC-B v1.17 およびそれよりも前のバージョン
  • WTC-C1167GC-W v1.17 およびそれよりも前のバージョン
  • WRC-1167FEBK-S v1.04 およびそれよりも前のバージョン

報告されている脆弱性は次のとおり。

  • CVE-2023-37566、CVE-2023-37568 – Web管理画面に対して改変されたリクエストが送信され、任意のコマンドが実行される可能性がある
  • CVE-2023-37567 – Web管理画面の特定のポート番号に対して改変されたリクエストが送信され、任意のコマンドが実行される可能性がある
  • CVE-2023-37560 – 当該製品にログインしたユーザのウェブブラウザ上で、不正なスクリプトが実行される可能性がある
  • CVE-2023-37561 – 改変されたURLにアクセスすることで任意のWebサイトにリダイレクトされ、フィッシングなどの被害を受ける可能性がある
  • CVE-2023-37562 – 当該製品にログインしているユーザが改ざんされたページにアクセスした場合、望まない操作を強制される可能性がある
  • CVE-2023-37563 – 当該製品にアクセスできる攻撃者により、機密情報が盗まれる可能性がある
  • CVE-2023-37564 – 当該製品にログインできる攻撃者により、改変されたリクエストが送信され、root権限で任意のOSコマンドが実行される可能性がある
  • CVE-2023-37565 – 当該製品にログインできる攻撃者により、改変されたリクエストが送信され、任意のコマンドが実行される可能性がある

JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。

情報元
https://news.mynavi.jp/techplus/article/20230713-2726293/