Wi-Fiルーター「Aterm」2機種に脆弱性、LAN内から任意のコマンドを実行可能

　NECプラットフォームズ株式会社が発売したWi-Fiルーター「Aterm WG1200CR」「Aterm WF1200CR」に4件の脆弱性があるとして、独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が注意を喚起している。

　影響を受けるファームウェアのバージョンは、Aterm WG1200CRが1.0.1以前、Aterm WF1200CRが1.1.1以前。脆弱性修正済みファームウェアの適用が推奨されており、各製品のサポートページからダウンロードできる。

　共通脆弱性評価システムCVSS v3のスコアは、情報漏えいの脆弱性「CVE-2018-16192」と格納型クロスサイトスクリプティングの脆弱性「CVE-2018-16193」が4.4、OSコマンドインジェクションの脆弱性「CVE-2018-16194」が6.8、UPnPのSOAPインターフェイスにおけるOSコマンドインジェクションの脆弱性「CVE-2018-16195」が8.8。

　最もスコアの高いCVE-2018-16195は、UPnP機能を利用して製品に不正なパラメーターを読み込ませることで、任意のOSコマンドが実行される可能性のあるもの。

　このほか、悪意ある第三者のアクセスにより、任意のスクリプト（CVE-2018-16193）やOSコマンド（CVE-2018-16194）が実行されてしまったり、登録情報が取得（CVE-2018-16192）されてしまう可能性があるが、いずれの脆弱性を悪用するにも、ローカルネットワーク側から管理画面にアクセスする必要がある。

「Aterm WG1200CR」

「Aterm WF1200CR」

【お詫びと訂正 15:58】
　記事初出時、対象製品の型番に誤りがありました。お詫びして訂正いたします。

　正：「Aterm WG1200CR」「Aterm WF1200CR」

　誤：「Aterm WG1200HP」「Aterm WF1200HP」