ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性 - クラウド Watch

(情報元のブックマーク数

すごく限定的だけどWeb管理画面にアクセス権があったら、任意のスクリプトが入れられる感じみたい。

ヤマハ株式会社が発売したVoIPルーター「RT57i」「RT58i」「NVR500」、VPNルーター「RTX810」、ファイアウォール「FWX120」に脆弱性があるとして、独立行政法人情報処理推進機構IPA)と一般社団法人JPCERTコーディネーションセンターJPCERT/CC)が運営する、Japan Vulnerability Note(JVN)が情報を公開した。
 ネットワーク機器の管理画面にスクリプトインジェクションの脆弱性がCVE番号ベースで2件存在しており、いずれも管理者権限でアクセス可能なユーザーによってWebブラウザ上で任意のスクリプトを実行される可能性がある。
 CVE番号は「CVE-2018-0665」「CVE-2018-0666」。いずれも共通脆弱性評価システムCVSS v3のスコアは4.3。なお、同社製無線LANアクセスポイント「WLXシリーズ」や、L2/L3スイッチ「SWXシリーズ」はこの脆弱性の影響を受けないとしている。

ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性 - クラウド Watch

screenshot