JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月24日、「JVN#35246979: エレコム製法人向けアクセスポイント管理ツール WAB-MAT によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性」において、エレコムが法人向けに提供しているアクセスポイント管理ツール「WAB-MAT」に脆弱性が報告されているとして、注意を呼び掛けた。この脆弱性を悪用されると、攻撃者によって任意のプログラムをWAB-MATサービスの権限で実行される危険性があるという。

エレコムでは、該当する脆弱性について、以下で告知している。

  • 法人向けアクセスポイント管理ツール「WAB-MAT」 セキュリティ向上のためのアップデートのお願い

    法人向けアクセスポイント管理ツール「WAB-MAT」 セキュリティ向上のためのアップデートのお願い

WAB-MATは法人向けに提供されているWindows用のアクセスポイント管理ツールで、複数のアクセスポイントに対する設定やログ管理、死活監視などを一括で行える。今回発見された脆弱性は、WAB-MATによって登録されるWindowsサービスにおいて、登録される実行ファイルのパスが引用符で囲まれていないという問題に起因するもの。悪用されると、当該Windowsサービスの権限で特定のパスに置かれた任意の実行ファイルを実行される危険性がある。

この脆弱性の影響を受ける製品およびバージョンは次の通り。

  • WAB-MAT Ver.5.0.0.8 およびそれ以前のバージョン

次のページで公開されているVer.5.0.2.2以降のバージョンにアップデートすることで、該当する脆弱性の影響を回避することができる。

エレコムでは、対象製品を使用するユーザに対してアップデートを適用するように呼びかけている。