アーカイブ
ASUS社 無線LANルータ(RT-AC87U)におけるクロスサイトスクリプティングの脆弱性(JVN#33901663)
2018年5月9日 | 注意喚起
LAC Advisory No.126
Problem first discovered on: Tue, 29 Sep 2015
Published on: Wed, 9 May 2018
ASUS JAPAN株式会社が提供する RT-AC87U は、無線LANルータです。RT-AC87U には、クロスサイトスクリプティング(CWE-79)の脆弱性が存在します。このため、攻撃者に誘導されて特定のURLにアクセスした場合に、ユーザのウェブブラウザ上で任意のスクリプトが実行され、ルータの設定情報(WPSのPINコードやSSIDなど)が盗み出されたり、書き換えられたりする被害を受ける恐れがあります。
影響を受けるバージョン
RT-AC87U Firmware version 3.0.0.4.378.9383 より前のバージョン
対策
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
ベンダ情報
RT-AC87U BIOS & FIRMWARE | Wi-Fi | ASUS 日本(https://www.asus.com/jp/Networking/RTAC87U/HelpDesk_BIOS/)
発見者
山崎 圭吾(サイバー・グリッド研究所/セキュリティ診断部)
謝辞
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPAに報告し、JPCERT/CCにより開発者との調整が行われました。
JVN#33901663: RT-AC87U におけるクロスサイトスクリプティングの脆弱性
JVNDB-2018-000042 - JVN iPedia - 脆弱性対策情報データベース
CVE番号
CVE-2018-0581