独立行政法人情報処理推進機構(IPA)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は1月22日、「バッファロー製の複数のネットワーク機器におけるクロスサイト・リクエスト・フォージェリの脆弱性」および 「バッファロー製の複数のネットワーク機器におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)で公表した。
いずれの脆弱性についても、開発者が提供する情報をもとに最新版へアップデートするよう促している。
本脆弱性情報は、2014年7月22日にIPAが届出を受け、JPCERT/CCが製品開発者と調整を行なった上で公表したもの。
概要は以下の通り。
・JVN#09268287
バッファローが提供する複数のネットワーク機器には、クロスサイト・リクエスト・フォージェリ(CSRF:Cross-Site_Request_Forgery)の脆弱性が存在する。ユーザーが当該製品にログインした状態で細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。
・JVN#49225722
バッファローが提供する複数のネットワーク機器には、クロスサイト・スクリプティング(XSS:Cross-site_Scripting)の脆弱性が存在する。当該製品の管理画面にログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性がある。
