独立行政法人 情報処理推進機構(IPA)セキュリティセンターおよび、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は20日、バッファロー製の無線LANアクセスポイントおよび、無線LANルータに脆弱性があるとして注意喚起した。

WAPM-1166D

WAPM-APG600H

対象となるのは、バッファローの法人向けアクセスポイント「WAPM-1166D」および「WAPM-APG600H」の2製品と、無線LANルータ「WMR-433」および「WMR-433W」の2製品。

無線LANアクセスポイントの2製品には、いずれも認証不備の脆弱性が存在。第三者によって認証なしでtelnetログインされ、設定機能にアクセスされる可能性がある。

また、無線LANルータの2製品にはクロスサイト・リクエスト・フォージェリの脆弱性、反射型クロスサイトスクリプティングの脆弱性が存在する。これにより、設定ページにログインした状態のユーザーが細工されたページにアクセスした場合、製品の設定を変更させられたり、再起動させられたりする恐れがある。また、Webラウザ上で、任意のスクリプトを実行される恐れがある。

いずれの脆弱性も、バッファローが公開している最新版のファームウェアで修正されている。最新ファームウェアのバージョンは、無線LANアクセスポイントのWAPM-1166DがVer.1.4.3以降、WAPM-APG600HがVer.1.18.1以降。無線LANルータは2製品ともVer.1.50以降