ニュース

「ひかり電話ルーター/ホームゲートウェイ」にXSSとCSRFの脆弱性、最新ファームへ更新を

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、NTT東日本とNTT西日本が提供する「ひかり電話」の契約者向けに配布されている「ひかり電話ルーター/ホームゲートウェイ」に、クロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)の脆弱性があることを公表した。最新版ファームウェアへの更新が推奨されている。

 影響を受ける機器とファームウェアバージョンは以下の通り。いずれもひかり電話の加入者向けにレンタルで提供されているもの。ファームウェアのバージョンは、ホームゲートウェイの管理画面にログインすると表示される「ファームウェアバージョン」から確認できる。

機器の前面下部に機種名が記載されている
機種ファームウェアバージョン
PR-S300NE/RT-S300NE/RV-S340NEVer.19.41以前
PR-S300HI/RT-S300HI/RV-S340HIVer.19.01.0005以前
PR-S300SE/RT-S300SE/RV-S340SEVer.19.40以前
PR-400NE/RT-400NE/RV-440NEVer.7.42以前
PR-400KI/RT-400KI/RV-440KIVer.07.00.1010以前
PR-400MI/RT-400MI/RV-440MIVer. 07.00.1012以前
PR-500KI/RT-500KIVer.01.00.0090以前
RS-500KIVer.01.00.0070以前
PR-500MI/RT-500MIVer.01.01.0014以前
RS-500MIVer.03.01.0019以前
PR-500MIの管理画面におけるファームウェアバージョンの表示