GL.iNet製のVPNセキュリティゲートウェイ「GL-MT2500」「GL-MT2500A」に複数の脆弱性、最新ファームウェアに更新を

　GL.iNet製のVPNセキュリティゲートウェイ2製品に脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が情報を公開した。いずれも、最新版のファームウェアに更新することで対策できる。

　脆弱性の対象となる製品は「GL-MT2500」「GL-MT2500A（Brume 2）」のfirmware 4.7.0より前のバージョン。存在する脆弱性は、次の2種類。

OSコマンドインジェクション（CVE-2024-57391）

　ウェブインタフェースに管理者権限でログインしたユーザが、細工したHTTPリクストを送りつけることにより、当該デバイス上で任意のOSコマンドを実行できる可能性がある。CVSS v4のスコアは8.6、CVSS v3.1のスコアは7.2。

非効率な正規表現の使用（CVE-2025-2811）

　認証されていない状態の第三者が、細工したHTTPリクエストを送りつけることにより、当該デバイスをサービス運用妨害（DoS）状態にできる可能性がある。CVSS v4のスコアは7.5、CVSS v3.1のスコアは7.5。