VU#123336: Arcadyan FMIMG51AX000Jの脆弱なWiFi Allianceの例コードが見つかりました
ワイヤレス・テスト・スイート(以下、WTS)にコマンド・インジェクションの脆弱性が発見されました。WTSは、元々は、認定プログラムとデバイス認定のサポートのために開発されたツールでしたが、商用ルーターへの展開で発見され、テストコードに脆弱性が見つかりました。WTSは、認証されていないローカルアタッカーが、特別に作成されたパケットを送信することで、WTSを利用して、ルート権限で任意のコマンドを実行できるようにする脆弱性です。アタッカーは、この脆弱性を利用して、影響を受けるデバイスに対する管理者権限を取得することができます。アタッカーは、このアクセスを利用して、システム設定を変更したり、重要なネットワークサービスを妨害したり、デバイスを完全にリセットしたりすることができます。CERT/CCは、ベンダーがWTSをバージョン9.0以降に更新するか、または、生産デバイスから完全に削除することを推奨しています。脆弱性は、CVE-2024-41992と識別されています。CERT/CCは、脆弱性を特定したSSD DisclosureのNoam Rathaus氏に感謝しています。推奨される解決策は、サービスの中断を防ぎ、ネットワークデータの侵害を防ぎ、すべての影響を受けるネットワークに依存するユーザーに対するサービスの中断の可能性を軽減することを目的としています。