CRITICAL🇬🇧 English

CVE-2024-23486

Buffalo WSR-2533DHP — hasło przechowywane w postaci jawnej (plaintext)

CVSS 9.8v3.1pub. 2024-04-15upd. 2025-06-30

Routery bezprzewodowe Buffalo z serii WSR-2533DHP przechowują hasła w postaci niezaszyfrowanej (plaintext). Osoba nieuprawniona mająca dostęp sieciowy do strony logowania urządzenia może pozyskać skonfigurowane dane uwierzytelniające.

Pokaż oryginał (EN)

Plaintext storage of a password issue exists in BUFFALO wireless LAN routers, which may allow a network-adjacent unauthenticated attacker with access to the product's login page may obtain configured credentials.

🤖 Analiza AI
Jak działa

Podatność (CWE-256) polega na tym, że firmware routera przechowuje hasło dostępu w postaci jawnego tekstu, bez szyfrowania ani odpowiedniego zabezpieczenia. Atakujący znajdujący się w sieci sąsiadującej z urządzeniem i mający dostęp do strony logowania może odczytać te dane uwierzytelniające bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać dostęp do skonfigurowanych danych logowania, co w praktyce oznacza możliwość przejęcia pełnej kontroli administracyjnej nad routerem oraz potencjalny dostęp do sieci lokalnej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.buffalo.jp/news/detail/20240410-01.html). Zaleca się również ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych hostów oraz unikanie wystawiania panelu administracyjnego na zewnętrzne interfejsy sieciowe.

Kogo dotyczy

Routery Buffalo WSR-2533DHP, WSR-2533DHP-L oraz WSR-2533DHP2 (firmware wskazany w referencjach producenta).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Buffalo Wsr 2533dhp

    HW
    Buffalo
    wszystkie wersje
  • Buffalo Wsr 2533dhp2

    HW
    Buffalo
    wszystkie wersje
  • Buffalo Wsr 2533dhp2 Firmware

    OS
    Buffalo
    < 1.11
  • Buffalo Wsr 2533dhp Firmware

    OS
    Buffalo
    < 1.07
  • Buffalo Wsr 2533dhpl

    HW
    Buffalo
    wszystkie wersje
  • Buffalo Wsr 2533dhpl Firmware

    OS
    Buffalo
    < 1.07
  • Buffalo Wsr A2533dhp2

    HW
    Buffalo
    wszystkie wersje
  • Buffalo Wsr A2533dhp2 Firmware

    OS
    Buffalo
    < 1.11
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-43443HIGH8.8ten sam produkt

OS command injection vulnerability in Buffalo network devices allows an network-adjacent attacker to execute a...

CVE-2024-26023MEDIUM4.2ten sam produkt

OS command injection vulnerability in BUFFALO wireless LAN routers allows a logged-in user to execute arbitrar...

CVE-2022-43466MEDIUM6.8ten sam produkt

OS command injection vulnerability in Buffalo network devices allows a network-adjacent attacker with an admin...

CVE-2022-43486MEDIUM6.8ten sam produkt

Hidden functionality vulnerability in Buffalo network devices allows a network-adjacent attacker with an admin...

CVE-2021-20090CRITICAL9.8⚠ KEVten sam vendor

A path traversal vulnerability in the web interfaces of Buffalo WSR-2533DHPL2 firmware version <= 1.02 and WSR...