FS010W クロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性

公開日 2018年2月20日

最終更新日 2018年2月20日

概要

FS010WのバージョンFS010W_00_V1.3.0以前にクロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性が存在することが判明しました。

この脆弱性を悪用された場合、

・FS010Wの設定ツールにログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される。

・FS010Wの設定ツールにログインした状態のユーザが、細工されたページにアクセスした場合、意図せずFS010Wの設定変更などをさせられる。

この問題の影響を受けるFS010Wのバージョンを以下に示しますので、ワークアラウンドを実施してください。

確認方法

影響を受ける製品は以下の製品です。

製品名称:FS010W

該当バージョン:FS010W_00_V1.3.0 以前の全てのバージョン


使用しているバージョン番号の確認方法は以下の通りです。

(1) FS010Wを起動し、設定ツールから「バージョン情報」を選択する

(2) ソフトウェアバージョンのFS010W_00_V1.x.x表示を確認

ソフトウェアバージョン

脆弱性の説明

FS010Wは、ブラウザよりFS010Wの設定を変更する機能を搭載しています。

本脆弱性が存在するため、FS010Wを狙った悪意あるサイトを表示させた場合、クロスサイトスクリプティングまたはクロスサイトリクエストフォージェリの脆弱性により以下の操作をされる恐れがあります。

・設定ツールのログインパスワードの変更

・再起動

・設定初期化

・SSIDの変更

本脆弱性により意図しない設定がされてしまった場合は、microUSB横にあるリセットボタンを5秒以上押していただいてお買上げの状態に戻し、再度プロファイル設定をしてください。

対策方法

次のワークアラウンドをすべて実施することで、本脆弱性の影響を軽減することが可能です。

・設定ツールのログインパスワードを初期「1234」の設定から変更する

・設定ツールにログインしている間、他のウェブサイトにアクセスしない

・設定ツールでの操作終了後は、ウェブブラウザを終了する

関連情報

JVN#83834277


Japan Vulnerability Notes

https://jvn.jp/

JPCERT Coordination Center

http://www.jpcert.or.jp/

IPA 情報処理推進機構

http://www.ipa.go.jp/

謝辞

この脆弱性情報公表にあたり脆弱性発見者の小林 学様ならびにご協力いただいた IPA 、JPCERT/CC の方々に、深く感謝申し上げます。

更新履歴

2018年2月20日
この脆弱性情報ページを公開しました。

お問い合わせ先

ご不明な点がございましたら下記窓口までお問い合わせください。

受付時間:
9:30~17:00(土日祝日、夏季休暇及び年末年始を除く営業日)
電話番号:
050-3000-2755
メールアドレス:
fsmobile@fsi.co.jp