ニュース

「Aterm WG2600HS」など複数のNEC製のWi-Fiルーターに脆弱性、最新版へのアップデートを

 日本電気株式会社(NEC)が提供するAtermシリーズの複数の無線LANルーターに脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。

 脆弱性の影響を受ける製品は以下の通り。

  • Aterm WG2600HS ファームウェア Ver1.3.2以前
  • Aterm WF1200CR ファームウェア Ver1.2.1以前
  • Aterm WG1200CR ファームウェア Ver1.2.1以前

 これらの製品には、UPnP機能におけるOSコマンドインジェクション(CVE-2020-5524)および管理画面におけるOSコマンドインジェクションの脆弱性が存在する。CVSS v3のスコアはCVE-2020-5524が8.8、CVE-2020-5525が6.8。

 想定される影響として、対象製品の管理画面やUPnP機能のインターフェースにアクセス可能なユーザーによって、root権限で任意のOSコマンドを実行される恐れがある。

 このほか、Aterm WG2600HSにはクロスサイトスクリプティング(CVE-2020-5533)およびOSコマンドインジェクション(CVE-2020-5534)の脆弱性も存在する。CVSS v3のスコアはCVE-2020-5533が6.1、CVE-2020-5534が8.0。

 当該製品にログイン可能なユーザーのウェブブラウザー上で任意のスクリプトを実行されたり、HTTPサービスにログイン可能なユーザーによって、root権限で任意のOSコマンドを実行される恐れがある。

 対策として最新版の適用を呼び掛けている。この問題を修正したファームウェアの最新バージョンはWG2600HSが「1.5.1」、WF1200CRが「1.3.2」、WG1200CRが「1.3.3」になる。