ニュース

エレコムのWi-Fiルーター「WRC-2533GST2」など8製品に脆弱性。アップデートや買い換えの検討を

  • 渡邊 悠太

2025年6月25日 14:10

WRC-2533GST2

 エレコム株式会社は、同社のWi-Fiルーター8製品に複数の脆弱性があるとして情報を公開した。JVN(Japan Vulnerability Notes)でも、本件に関する情報を公開している。

 同社は、対象となる8製品のバージョンと、脆弱性により想定される現象および、その対策を提示している(以下の一覧における、製品型番の後ろのカッコ内が現象の番号)。

 対象製品のうち3製品については、サポートを終了しており、ファームウェアのアップデートが提供されないため、同社は代替製品への切り替えを推奨している。

対象製品のバージョンと想定される現象

ファームウェアのアップデートで対策可能

  • WRC-2533GST2 v1.31以前のバージョン(1)
  • WRC-1167GST2 v1.34以前のバージョン(1)
  • WRC-X3000GS v1.0.34以前のバージョン(2)
  • WRC-X3000GSA v1.0.34以前のバージョン(2)
  • WRC-X3000GSN v1.0.9以前のバージョン(2)

サポート終了のためアップデートの提供なし

  • WRC-1167GHBK2-S 全てのバージョン(3)
  • WRH-733GBK 全てのバージョン(4、5)
  • WRH-733GWH 全てのバージョン(4、5)

 なお、「WRC-1167GHBK2-S」については、代替製品への切り替えを推奨しているが、以下の対策でリスクを軽減できるとしている。

  • ウェブ管理画面のログインパスワードを変更する
  • ウェブ管理画面にログインしている間、他のウェブサイトにアクセスしない
  • ウェブ管理画面での操作終了後は、ウェブブラウザーを終了する
  • ウェブブラウザーに保存されたウェブ管理画面のパスワードを削除する

明らかになった脆弱性

 今回、明らかになった脆弱性は以下のもの。

  1. アップロードファイルの検証不備(CVE-2025-36519)
     当該製品にログイン可能な攻撃者によって特別に細工されたファイルをアップロードされた場合、任意のコードを実行される可能性がある。CVSS v4のスコアは5.3、CVSS v3のスコアは4.3
  2. 接続確認画面におけるOSコマンドインジェクション(CVE-2025-41427)
     当該製品にログインしたユーザーによって細工されたリクエストを送信された場合、任意のOSコマンドを実行される可能性がある。CVSS v4のスコアは8.7、CVSS v3のスコアは8.8
  3. ウェブ管理画面における格納型クロスサイトスクリプティング(CVE-2025-43877)
     当該製品のウェブ管理画面にアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能性がある。CVSS v4のスコアは4.8、CVSS v3のスコアは5.4
  4. telnet機能におけるOSコマンドインジェクション(CVE-2025-43879)
     当該製品に細工されたリクエストを送信された場合、任意のOSコマンドを実行される可能性がある。CVSS v4のスコアは9.3、CVSS v3のスコアは9.8
  5. miniigd SOAPサービスにおけるOSコマンドインジェクション(CVE-2025-48890)
     当該製品に細工されたリクエストを送信された場合、任意のOSコマンドを実行される可能性がある。CVSS v4のスコアは9.3、CVSS v3のスコアは9.8