IPA(情報処理推進機構)セキュリティセンターJPCERT/CCは8月28 日、複数のNETGEAR製スイッチングハブにクロスサイト・リクエスト・フォージェリの脆弱性((CWE-352)が存在することをJVN(Japan Vulnerability Notes)において公表した。
クロスサイト・リクエスト・フォージェリとは、利用者から送信されたリクエストが意図されたものか識別する仕組みを持たないWebページで、外部サイト等を経由した悪意あるリクエストを受け入れて しまうことで、利用者が意図しない処理を実行させられてしまうこと。
脆弱性が存在するのは、NETGEARのスイッチングハブ「GS716Tv2」および「GS724Tv3」。これらの製品の管理画面にログインした状態のユーザーが細工されたページにアクセスした場合、当該製品の設定を意図せず変更されるおそれがある。
両製品はサポートが既に終了しているので、IPAは使用を停止し、代替製品への乗り換えなどを検討することを推奨している。NETGEARによると、GS716Tv2 およびGS724Tv3の後継機として GS716Tv3 (GS716T-300AJS) および GS724Tv4 (GS724T-400AJS) を提供しているという。
回避策として、IPアドレスをユーザポートで使用するものとは別のネットワークに設定することで、影響を軽減できるとのこと。