JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月30日、「JVN#06672778: エレコム製無線LANルーターにおける複数の脆弱性」において、エレコムの複数の無線LANルータに複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、ログイン可能な攻撃者に任意のコマンドを実行される可能性がある。

  • JVN#06672778: エレコム製無線LANルーターにおける複数の脆弱性

    JVN#06672778: エレコム製無線LANルーターにおける複数の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-34021 - アップロードファイルの検証が不十分な脆弱性。デバイスにログイン可能な攻撃者は、細工したファイルをアップロードすることで任意のOSコマンドを実行できる
  • CVE-2024-39607 - OSコマンドインジェクションの脆弱性。デバイスにログイン可能な攻撃者は、細工したリクエストを送信することで任意のOSコマンドを実行できる
  • CVE-2024-40883 - クロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)の脆弱性。デバイスにログイン中のユーザーが細工されたWebページにアクセスすると、認証情報を変更される可能性がある

脆弱性が存在する製品

脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

  • WRC-2533GS2-B Ver.1.68およびこれ以前のバージョン
  • WRC-2533GS2-W Ver.1.68およびこれ以前のバージョン
  • WRC-2533GS2V-B Ver.1.68およびこれ以前のバージョン
  • WRC-X6000XS-G Ver.1.11およびこれ以前のバージョン
  • WRC-X1500GS-B Ver.1.11およびこれ以前のバージョン
  • WRC-X1500GSA-B Ver.1.11およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • WRC-2533GS2-B Ver.1.69およびこれ以降のバージョン
  • WRC-2533GS2-W Ver.1.69およびこれ以降のバージョン
  • WRC-2533GS2V-B Ver.1.69およびこれ以降のバージョン
  • WRC-X6000XS-G Ver.1.12およびこれ以降のバージョン
  • WRC-X1500GS-B Ver.1.12およびこれ以降のバージョン
  • WRC-X1500GSA-B Ver.1.12およびこれ以降のバージョン

これらの製品は工場出荷時の設定であれば、自動的にファームウェアアップデートが実施される。しかし、設定を変更したユーザーは、影響を確認して手動でファームウェアアップデートを適用することが推奨されている。