ニュース
因幡電機産業のコンセント埋込式Wi-Fiアクセスポイント「AC-WPS-11ac」シリーズに複数の脆弱性、ソフトウェアのアップデートを
2025年4月4日 18:40
因幡電機産業製のコンセント埋込式Wi-Fi AP UNIT「AC-WPS-11ac」シリーズに複数の脆弱性があるとして、脆弱性対策情報ポータルサイト「JVN」(Japan Vulnerability Notes)が情報を公開した。因幡電機産業でも情報を公開しており、ソフトウェアのアップデートを行うことと、それが困難な場合は軽減・回避策を取ることを呼び掛けている。
対象の製品は「AC-WPS-11ac」「AC-WPS-11ac-P」「AC-WPSM-11ac」「AC-WPSM-11ac-P」「AC-PD-WPS-11ac」「AC-PD-WPS-11ac-P」の、ソフトウェアバージョンv2.0.03P以前。いずれも、ソフトウェアを最新版にアップデートすることで対策できる。
公開された脆弱性は以下の8件。
Web管理画面における権限不備による認可制御の不備(CVE-2025-23407)
本来操作権限のない設定を変更される可能性がある。CVSS v3のスコアは4.3。
Web管理画面におけるOSコマンドインジェクション(CVE-2025-25053)
攻撃者によって、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは8.8。
クロスサイトリクエストフォージェリ(CVE-2025-25056)
当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。CVSS v3のスコアは4.3。
フレームの不適切な制限(CVE-2025-25213)
当該製品の管理画面にログイン済みのユーザが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる。CVSS v3のスコアは6.5。
重要な情報の平文通信(CVE-2025-27722)
中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受され、認証情報が窃取される可能性がある。CVSS v3のスコアは5.9。
特定のサービスにおけるOSコマンドインジェクション(CVE-2025-27797)
攻撃者によって、任意のOSコマンドを実行される可能性がある。CVSS v3のスコアは9.8。
特定のサービスにおける認証情報の情報漏えい(CVE-2025-27934)
攻撃者によって、当該製品の認証情報を取得される可能性がある。CVSS v3のスコアは7.5。
重要な機能に対する認証の欠如(CVE-2025-29870)
攻撃者によって、当該製品の認証情報を含む設定情報を取得される。CVSS v3のスコアは7.5。
ソフトウェアのアップデートが困難な場合の軽減・回避策(ワークアラウンド)として、次のことを挙げている。また、本製品の上位にルーターが設置されている場合は、ルーターを最新にアップデートすることでリスクを軽減・回避できるとしている。
- IPアドレスを初期設定値から変更する
- WANおよびWi-FiからのWEB UI(設定画面)へのアクセスを禁止する(本体正面のLANポートからの接続のみ有効とする)
- Wi-Fi接続を許可する端末のMACアドレスを登録する
- VPNやIPフィルタなどによる接続端末の制限を行う
- ネットワーク上位にファイアウォールを設置する
- 該当製品を接続する上位機器は最新の状態にする
- 設定画面にログインしている間、他のウェブサイトにアクセスしない
- 設定画面での操作終了後は、ウェブブラウザーを終了する
- ウェブブラウザーに保存された設定画面のパスワードを削除してください
- ユーザー名、パスワードを定期的に変更する