+F(プラスエフ)FS010M 「OSコマンドインジェクション」の脆弱性
概要
平素は当社の製品をご利用いただき、誠にありがとうございます。
+F FS010Mに脆弱性が存在することが判明しました。
脆弱性:OSコマンドインジェクション
パターン①:
脆弱性を悪用された場合、「管理者アカウント」または「ゲストアカウント」を使用して、
コマンドラインインターフェース(CLI)を通じて、任意のOSコマンドが実行される。
パターン②:
脆弱性を悪用された場合、「管理者アカウント」を使用して、
画面操作時のリクエストを加工され、任意のOSコマンドが実行される。
この問題の影響を受ける+F FS010Mのバージョンを以下に示しますので、ソフトウェアをバージョンアップしてください。
脆弱性に該当する製品名およびバージョン
影響を受ける製品は以下の製品です。
製品名称:+F FS010M
該当バージョン:V2.0.0_1101、V1.0.1_1101
※2025年2月20日公開のV2.0.0_1101では「パターン②」は対策済みですが、
「パターン①」は対策されていません。
脆弱性の内容
パターン①(管理者アカウント/ゲストアカウント)
本脆弱性の前提条件
1.本製品の無線/有線ネットーワークに接続
2.「管理者アカウント」または「ゲストアカウント」のパスワードを使用して本製品の設定ツール」にログイン
※「管理者アカウント」または「ゲストアカウント」のログイン情報を変更しているお客様には影響ありません。
3.「システム」>「ターミナル」からCLIへ接続
4.特定の操作後に、任意のOSコマンドが実行される
※ターミナルソフトによるCLIも対象です。
パターン②(管理者アカウント)
本脆弱性の前提条件
1.本製品の無線/有線ネットーワークに接続
2.「管理者アカウント」のパスワードを使用して本製品の「設定ツール」にログイン
※「管理者アカウント」のログイン情報を変更しているお客様には影響ありません。
3.画面操作時のリクエストを加工し、任意のOSコマンドが実行される
脆弱性への対策方法
ソフトウェアをバージョンアップすることで脆弱性への対策が可能です。
<ソフトウェアのバージョンアップ方法>
ソフトウェアのバージョンアップ方法はこちらを参照してください。
対策バージョン:V2.0.1_1101
関連情報
脆弱性関連情報識別番号
JVN#11230428
Japan Vulnerability Notes
https://jvn.jp/
JPCERT Coordination Center
http://www.jpcert.or.jp/
IPA 情報処理推進機構
http://www.ipa.go.jp/
謝辞
この脆弱性情報公表にあたり脆弱性発見者の
情報通信研究機構 サイバーセキュリティ研究所 倉盛 剛志 様
ならびにご協力いただいた IPA 、JPCERT/CC の方々に、深く感謝申し上げます。
更新履歴
2025年3月17日
この脆弱性情報ページを公開しました。
お問い合わせ先
ご不明な点がございましたら下記窓口までお問い合わせください。
| 受付時間: |
9:00~17:00(土日、祝日、夏季休暇及び年末年始を除く営業日)
|
|---|---|
| 電話番号: |
050-3000-2752
|
| お問い合わせフォーム: |
以 上