JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月19日、Japan Vulnerability Notes(JVN)に掲載した記事「JVN#25766797: Aterm WF1200CR 、WG1200CR および WG2600HS における複数の OS コマンドインジェクションの脆弱性」および「JVN#49410695: Aterm WG2600HS における複数の脆弱性」において、NECのWi-Fiルータの脆弱性について伝えた。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • Aterm WF1200CR ファームウェア Ver1.2.1 およびそれよりも前のバージョン
  • Aterm WG1200CR ファームウェア Ver1.2.1 およびそれよりも前のバージョン
  • Aterm WG2600HS ファームウェア Ver1.3.2 およびそれよりも前のバージョン

脆弱性を悪用されると、次のような影響を受ける可能性があるとされている。

  • UPnP機能のインタフェースにアクセスできるユーザーによってroot権限で任意のOSコマンドを実行される
  • 管理画面にアクセスできるユーザーによってroot権限で任意のOSコマンドを実行される
  • ログインしているユーザーのWebブラウザで任意のスクリプトが実行される(Aterm WG2600HSのみ)
  • HTTPサービスにログインできるユーザーによってroot権限で任意のOSコマンドが実行される(Aterm WG2600HSのみ)
  • JVN#25766797: Aterm WF1200CR 、WG1200CR および WG2600HS における複数の OS コマンドインジェクションの脆弱性

    JVN#25766797: Aterm WF1200CR 、WG1200CR および WG2600HS における複数の OS コマンドインジェクションの脆弱性

  • JVN#49410695: Aterm WG2600HS における複数の脆弱性

    JVN#49410695: Aterm WG2600HS における複数の脆弱性

該当するプロダクトを使用している場合は、ベンダーが提供している情報をもとにファームウェアを最新版へアップデートすることが推奨されている。深刻度が重大(High)に分類される脆弱性が含まれており注意が必要。