JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月8日、「JVN#57428125: プラネックス製MZK-DP300Nにおけるクロスサイトスクリプティングの脆弱性」において、プラネックスコミュニケーションズのWi-Fiルータ「ちびファイ4(MZK-DP300N)」に脆弱性が存在するとして、注意を喚起した。

この脆弱性を悪用されると、ログイン可能な攻撃者が設定を操作することで被害者のWebブラウザ上で任意のスクリプトを実行できる可能性がある。

  • JVN#57428125: プラネックス製MZK-DP300Nにおけるクロスサイトスクリプティングの脆弱性

    JVN#57428125: プラネックス製MZK-DP300Nにおけるクロスサイトスクリプティングの脆弱性

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-21603 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。ログイン可能な攻撃者がデバイス設定を操作した場合、デバイスにログイン中の被害者が細工されたURLにアクセスした際にWebブラウザ上で任意のスクリプトを実行される可能性がある(CVSSスコア: 4.8)

脆弱性が存在する製品

脆弱性が存在する製品およびファームウェアバージョンは次のとおり。

  • MZK-DP300N 1.05およびこれ以前のファームウェアバージョン

セキュリティ脆弱性が修正された製品

セキュリティ脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

  • MZK-DP300N 1.06

対象の脆弱性は攻撃にログインが必要なことから深刻度は警告(Warning)との評価にとどまる。デフォルトの管理者パスワードを一意で強力なものに変更している場合、侵害される可能性は低くなるものとみられる。しかしながらリスクを回避するため、当該製品の利用者には開発者の提供する情報に基づいてアップデートを適用することが推奨されている。