LAC Advisory No.135 デジタルペンテスト部の飯田です。 株式会社バッファローが提供する法人向けVPNルーター「VR-S1000」に、複数の脆弱性が存在することが分かりました。特に、私が報告を行ったCVE-2023-51363については、Web管理画面にアクセス可能な悪意ある攻撃者によって当該製品上に存在する「機微な情報」を窃取される恐れがあり、注意が必要です。 なお、当該製品はインターネット上からWeb管理画面にアクセス可能なものが多数存在することを確認しており、早急に対策を行う必要があります。 影響を受けるシステム VR-S1000ファームウェア Ver. 2.37およびそれ以前 解説 CVE-2023-51363は、当該製品のWeb管理画面に対して特定の方法でリクエストを送ることで、認証なしに当該製品内に存在する「機微な情報」を取得することが可能な脆弱性です。 脆弱性