独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は1日、株式会社バッファローが2003年9月に発売した有線LANルーター「BBR-4HG」「BBR-4MG」に、クロスサイトスクリプティングと入力値検査不備の脆弱性があることを発表した。最新版ファームウェアへの更新が推奨されている。

影響を受けるファームウェアのバージョンは1.00～1.48および2.00～2.07。最新版のファームウェアは、製品バージョン「1.xx」用に「1.49」、「2.xx」用に「2.08」が提供される。両ファームウェアには互換性がないため、ルーター本体背面のシールに記載された製品バージョンを確認する必要がある。

クロスサイトスクリプティングの脆弱性「CVE-2017-10896」は、これらの製品にログインした状態で、細工されたURLにアクセスすることで、ユーザーのブラウザー上で任意のスクリプトが実行される可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は6.1ポイント。

入力値検査不備の脆弱性「CVE-2017-10897」は、管理画面にて不適切な値を設定された場合に製品が応答不能になる可能性があるもの。CVSS v3による脆弱性評価は4.5ポイント。