JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月24日、「JVN#81966868: プラネックス製ネットワーク機器における複数の脆弱性」において、プラネックスコミュニケーションズの無線LANルータおよびネットワークカメラに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、当該製品にログイン中のWebブラウザ上で任意のスクリプトを実行される可能性がある。
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-45372 - クロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)の脆弱性
- CVE-2024-45836 - Web管理画面にクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
脆弱性が存在する製品
脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。
- MZK-DP300N 1.04およびこれ以前のバージョン
- CS-QR10すべてのファームウェアバージョン
- CS-QR20すべてのファームウェアバージョン
- CS-QR22すべてのファームウェアバージョン
- CS-QR220すべてのファームウェアバージョン
- CS-QR300すべてのファームウェアバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびファームウェアバージョンは次のとおり。
- MZK-DP300N 1.05
脆弱性の影響を受けるネットワークカメラ(CS-QR*)はサポート終了(EOL: End-of-Life)となっており修正パッチは提供されない。これら製品の利用者にはWeb設定画面を無効にするか、または新しい製品に交換することが推奨されている。無線LANルータ(MZK-DP300N)の利用者には開発者が提供する情報を確認し、アップデートすることが推奨されている。