JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月22日、「JVN#15293958: アイ・オー・データ製ルーターUD-LT2における複数の脆弱性」において、アイ・オー・データ機器のルーター「UD-LT2」に複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、ログイン可能な攻撃者に任意のOSコマンドを実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-20617 - OSコマンドインジェクションの脆弱性。管理者としてログイン可能な攻撃者に、任意のOSコマンドを実行される可能性がある(CVSSスコア: 7.2)
- CVE-2025-22450 - 文書化されていない隠し機能の脆弱性。リモートの攻撃者にLAN側ファイアウォールを無効化され、特定のポートを開放される可能性がある(CVSSスコア: 7.5)
- CVE-2025-23237 - OSコマンドインジェクションの脆弱性。CLIにログイン可能な攻撃者に、任意のOSコマンドを実行される可能性がある(CVSSスコア: 6.6)
脆弱性が存在する製品
脆弱性が存在する製品およびファームウェアバージョンは次のとおり。
- UD-LT2 Ver.1.00.008_SEおよびこれ以前のファームウェアバージョン
セキュリティ脆弱性が修正された製品
セキュリティ脆弱性が修正された製品およびファームウェアバージョンは次のとおり。
- UD-LT2 Ver.1.00.011_SE
発見された脆弱性の中で最も高い深刻度は重要(Important)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートすることを推奨している。