Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2022-43470: +F(プラスエフ) FS030W 「クロスサイトリクエストフォージェリ」の脆弱性|富士ソフト株式会社

Cross-site request forgery (CSRF) vulnerability in +F FS040U software versions v2.3.4 and earlier, +F FS020W software versions v4.0.0 and earlier, +F FS030W software versions v3.3.5 and earlier, and +F FS040W software versions v1.4.1 and earlier allows an adjacent attacker to hijack the authentication of an administrator and user’s unintended operations such as to reboot the product and/or reset the configuration to the initial set-up may be performed.

CVE
#csrf#vulnerability#auth

概要

平素は当社の製品をご利用いただき、誠にありがとうございます。

+F FS030Wに「クロスサイトリクエストフォージェリ」の脆弱性が存在することが判明しました。

この脆弱性を悪用された場合、+F FS030Wが「初期化(工場出荷設定)」、「再起動」される可能性があります。

※+F FS030Wの「設定ツール」からログアウトしている状態では本脆弱性は発生しません。

この問題の影響を受ける+F FS030Wのバージョンを以下に示しますので、ソフトウェアをバージョンアップしてください。

脆弱性に該当する製品名およびバージョン

影響を受ける製品は以下の製品です。

製品名称:+F FS030W

該当バージョン:V3.3.5 以前のバージョン

<バージョンの確認方法>

バージョンの確認方法はこちらを参照してください。

脆弱性の内容

①「クロスサイトリクエストフォージェリの脆弱性」

+F FS030Wは、パソコン等のブラウザから+F FS030Wを設定する「設定ツール」機能を搭載しています。

「設定ツール」にログインした状態で、本脆弱性をつく悪意のあるサイトをパソコン等のブラウザで表示させた場合、以下の操作をされる恐れがあります。

・初期化(工場出荷設定)

・+F FS030Wの再起動

脆弱性への対策方法

ソフトウェアをバージョンアップすることで脆弱性への対策が可能です。

現在お使いのソフトウェアバージョンによってアップデートファイルのバージョンが異なりますのでご注意ください。

誤ったバージョンへアップデートすると+F FS030Wは正常動作しなくなり有償修理となります。

・V3.3.4以下 ⇒ V4.0.0へバージョンアップが必要

・V3.3.5   ⇒ V5.0.0へバージョンアップが必要

アップデートの注意事項は「MobileRouter FS030W 取扱説明書」の「ソフトウェアアップデート」をよくお読みください。

<ソフトウェアのバージョンアップ方法>

ソフトウェアのバージョンアップ方法はこちらを参照してください。

関連情報

脆弱性関連情報識別番号

JVN#74285622

Japan Vulnerability Notes

https://jvn.jp/

JPCERT Coordination Center

http://www.jpcert.or.jp/

IPA 情報処理推進機構

http://www.ipa.go.jp/

謝辞

この脆弱性情報公表にあたり脆弱性発見者の長谷川 智久様ならびにご協力いただいた IPA 、JPCERT/CC の方々に、深く感謝申し上げます。

更新履歴

2022年10月28日

この脆弱性情報ページを公開しました。

お問い合わせ先

ご不明な点がございましたら下記窓口までお問い合わせください。

受付時間:

9:00~17:00(夏季休暇及び年末年始を除く営業日)

電話番号:

050-3786-1789

お問い合わせフォーム:

https://www.fsi.co.jp/mobile/plusF/inquiry/index.html

以 上

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda