NEC Aterm シリーズに複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月14日、NEC Atermシリーズにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。横浜国立大学の佐々木貴之氏と吉岡克成氏、NTTセキュリティホールディングス株式会社の梶原翔氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2025-0354
WG2600HS ファームウェア Ver.1.7.2より前のバージョン
WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン
WX3000HP ファームウェア Ver.2.4.2より前のバージョン
WX4200D5 ファームウェア Ver.1.2.4より前のバージョン

・CVE-2025-0355
WG2600HS ファームウェア Ver.1.7.2より前のバージョン
WF1200CR ファームウェア Ver.1.6.0より前のバージョン
WG1200CR ファームウェア Ver.1.5.0より前のバージョン
GB1200PE ファームウェア Ver.1.3.0より前のバージョン
WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン
WX3000HP ファームウェア Ver.2.4.2より前のバージョン
WX4200D5 ファームウェア Ver.1.2.4より前のバージョン

・CVE-2025-0356
WX1500HP ファームウェア Ver.1.4.2より前のバージョン
WX3600HP ファームウェア Ver.1.5.3より前のバージョン

　日本電気株式会社が提供するAtermシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・格納型クロスサイトスクリプティング（CVE-2025-0354）
→当該製品にログインしたユーザが細工した入力を行った場合、当該製品の管理画面にアクセスした他ユーザのウェブブラウザ上で任意のスクリプトを実行される

・重要な機能に対する認証の欠如（CVE-2025-0355）
→当該製品にアクセス可能な第三者によって、Wi-Fiパスワードを窃取される

・OSコマンドインジェクション（CVE-2025-0356）
→当該製品にログインしたユーザによって細工されたリクエストを送信された場合、任意のOSコマンドを実行される

　JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。なお、ファームウェアを更新できない場合、開発者はワークアラウンドの適用を推奨している。

　またJVNでは、一部製品はすでにサポートが終了しているため、後続製品への乗り換え等の検討を呼びかけている。

元の記事を読む