JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月11日(米国時間)、「JVN#09166495: AirStation WHR-G54S における複数の脆弱性」において、バッファロー製無線LANルータ「AirStation WHR-G54S」に、ディレクトリトラバーサルおよびクロスサイトスクリプティングを許容する脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって製品の設定情報にアクセスされたり、Webブラウザから任意のスクリプトが実行されたりする危険性があるという。
該当する脆弱性に関する情報はバッファローによる次のページにまとめられている。
影響を受ける製品およびバージョンは次のとおり。
- AirStation WHR-G54S ファームウェア 1.43 およびそれ以前
この製品には次の2つの脆弱性が存在するという。
- CVE-2020-5605: 当該製品にログインした攻撃者によって設定値などの機微な情報に不正にアクセスされる可能性がある
- CVE-2020-5606: 当該商品にログインしたユーザーのWebブラウザ上で不正なスクリプトが実行される可能性がある
バッファローによると、WHR-G54Sはすでにサポートが終了しているため、この問題に対するアップデートは提供されないという。被害を軽減するための回避策としては、Web設定画面を使用しない時はログオフすること、Web設定画面にログインしたまま他のWeb ページを表示しないこと、デフォルトパスワードを変更することなどが挙げられている。また恒久的な対策として、代替製品を使用することが推奨されている。