JVNDB-2024-000087 – Revista JVN iPedia

[Japanese]

JVNDB-2024-000087

Los enrutadores LAN inalámbricos y los repetidores LAN inalámbricos BUFFALO son vulnerables a la inyección de comandos del sistema operativo

Los enrutadores LAN inalámbricos y los repetidores LAN inalámbricos proporcionados por BUFFALO INC. contienen una vulnerabilidad de inyección de comandos del sistema operativo (CWE-78).

Yoshiki Mori y Masaki Kubo del Laboratorio de Investigación de Ciberseguridad del Instituto Nacional de Tecnología de la Información y las Comunicaciones informaron esta vulnerabilidad a IPA.
JPCERT/CC se coordinó con el desarrollador en el marco de la Asociación de Alerta Temprana de Seguridad de la Información.

BÚFALO INC.

• WEX-1166DHP versión 1.23 y anteriores
• WEX-1166DHP2 versión 1.05 y anteriores
• WEX-1166DHPS versión 1.05 y anteriores
• WEX-300HPS/N Ver. 1.02 y anteriores
• WEX-300HPTX/N Ver. 1.02 y anteriores
• WEX-733DHP versión 1.64 y anteriores
• WEX-733DHP2 versión 1.03 y anteriores
• WEX-733DHPS versión 1.02 y anteriores
• WEX-733DHPTX versión 1.03 y anteriores
• WHR-1166DHP2 versión 2.95 y anteriores
• WHR-1166DHP3 versión 2.95 y anteriores
• WHR-1166DHP4 versión 2.95 y anteriores
• WSR-1166DHP3 versión 1.18 y anteriores
• WHR-1166DHP versión 2.92 y anteriores
• WHR-300HP2 versión 2.51 y anteriores
• WHR-600D versión 2.91 y anteriores
• WMR-300 versión 2.50 y anteriores
• WSR-600DHP versión 2.93 y anteriores

Si un usuario inicia sesión en la página de administración y envía una solicitud especialmente diseñada al producto afectado desde la página de administración específica del producto, se puede ejecutar un comando arbitrario del sistema operativo.

[Update the firmware]
Actualice el firmware a la última versión según la información proporcionada por el desarrollador.

BÚFALO INC.

1. Inyección de comandos del sistema operativo (CWE-78) [IPA Evaluation]

1. CVE-2024-44072

1. JVN: JVN#12824024

• [2024/08/23]
  Se publicó la página web