ニュース

因幡電機産業のコンセント埋込式Wi-Fiアクセスポイント「AC-WPS-11ac」シリーズに複数の脆弱性、ソフトウェアのアップデートを

AC-WPS-11ac

 因幡電機産業製のコンセント埋込式Wi-Fi AP UNIT「AC-WPS-11ac」シリーズに複数の脆弱性があるとして、脆弱性対策情報ポータルサイト「JVN」(Japan Vulnerability Notes)が情報を公開した。因幡電機産業でも情報を公開しており、ソフトウェアのアップデートを行うことと、それが困難な場合は軽減・回避策を取ることを呼び掛けている。

 対象の製品は「AC-WPS-11ac」「AC-WPS-11ac-P」「AC-WPSM-11ac」「AC-WPSM-11ac-P」「AC-PD-WPS-11ac」「AC-PD-WPS-11ac-P」の、ソフトウェアバージョンv2.0.03P以前。いずれも、ソフトウェアを最新版にアップデートすることで対策できる。

 公開された脆弱性は以下の8件。

Web管理画面における権限不備による認可制御の不備(CVE-2025-23407)

 本来操作権限のない設定を変更される可能性がある。CVSS v3のスコアは4.3。

Web管理画面におけるOSコマンドインジェクション(CVE-2025-25053)

 攻撃者によって、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは8.8。

クロスサイトリクエストフォージェリ(CVE-2025-25056)

 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。CVSS v3のスコアは4.3。

フレームの不適切な制限(CVE-2025-25213)

 当該製品の管理画面にログイン済みのユーザが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる。CVSS v3のスコアは6.5。

重要な情報の平文通信(CVE-2025-27722)

 中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受され、認証情報が窃取される可能性がある。CVSS v3のスコアは5.9。

特定のサービスにおけるOSコマンドインジェクション(CVE-2025-27797)

 攻撃者によって、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは9.8。

特定のサービスにおける認証情報の情報漏えい(CVE-2025-27934)

 攻撃者によって、当該製品の認証情報を取得される可能性がある。CVSS v3のスコアは7.5。

重要な機能に対する認証の欠如(CVE-2025-29870)

 攻撃者によって、当該製品の認証情報を含む設定情報を取得される。CVSS v3のスコアは7.5。

 ソフトウェアのアップデートが困難な場合の軽減・回避策(ワークアラウンド)として、次のことを挙げている。また、本製品の上位にルーターが設置されている場合は、ルーターを最新にアップデートすることでリスクを軽減・回避できるとしている。

  • IPアドレスを初期設定値から変更する
  • WANおよびWi-FiからのWEB UI(設定画面)へのアクセスを禁止する(本体正面のLANポートからの接続のみ有効とする)
  • Wi-Fi接続を許可する端末のMACアドレスを登録する
  • VPNやIPフィルタなどによる接続端末の制限を行う
  • ネットワーク上位にファイアウォールを設置する
  • 該当製品を接続する上位機器は最新の状態にする
  • 設定画面にログインしている間、他のウェブサイトにアクセスしない
  • 設定画面での操作終了後は、ウェブブラウザーを終了する
  • ウェブブラウザーに保存された設定画面のパスワードを削除してください
  • ユーザー名、パスワードを定期的に変更する