JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月14日、「JVN#65447879: NEC Atermシリーズにおける複数の脆弱性(NV25-003)」において、NECのルータに複数の脆弱性が存在するとして注意を喚起した。

対象の脆弱性を悪用されると、遠隔からWi-Fiパスワードを窃取されたり、任意のOSコマンドを実行されたりする可能性がある。

  • JVN#65447879: NEC Atermシリーズにおける複数の脆弱性(NV25-003)

    JVN#65447879: NEC Atermシリーズにおける複数の脆弱性(NV25-003)

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。以下の脆弱性はLAN側からアクセスした場合にのみ影響を受けるとされる。

  • CVE-2025-0354 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。リモートの攻撃者は任意のスクリプトを注入できる可能性がある(CVSSスコア: 7.2)
  • CVE-2025-0355 - 重要な機能に認証が欠如している脆弱性。リモートの攻撃者はWi-Fiパスワードを窃取できる可能性がある(CVSSスコア: 7.5)
  • CVE-2025-0356 - OSコマンドで使用される特殊要素の不適切な無害化の脆弱性。管理者として認証されたリモートの攻撃者は、任意のOSコマンドを実行できる可能性がある(CVSSスコア: 4.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • WG2600HS Ver.1.7.2より前のバージョン
  • WG2600HP4 Ver.1.4.2より前のバージョン
  • WG2600HM4 Ver.1.4.2より前のバージョン
  • WG2600HS2 Ver.1.3.2より前のバージョン
  • WX3000HP Ver.2.4.2より前のバージョン
  • WX4200D5 Ver.1.2.4より前のバージョン
  • WF1200CR Ver.1.6.0より前のバージョン
  • WG1200CR Ver.1.5.0より前のバージョン
  • GB1200PE Ver.1.3.0より前のバージョン
  • WX1500HP Ver.1.4.2より前のバージョン
  • WX3600HP Ver.1.5.3より前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • WG2600HS Ver.1.7.2
  • WG2600HP4 Ver.1.4.2
  • WG2600HM4 Ver.1.4.2
  • WG2600HS2 Ver.1.3.2
  • WX3000HP Ver.2.4.2
  • WX4200D5 Ver.1.2.4
  • WF1200CR Ver.1.6.0
  • WG1200CR Ver.1.5.0
  • GB1200PE Ver.1.3.0
  • WX1500HP Ver.1.4.2
  • WX3600HP Ver.1.5.3

脆弱性の影響を受ける一部製品はすでにサポート終了(EOL: End-of-Life)に達しており、速やかな買い替えが推奨されている(参考:「Atermのサポート期間について|Aterm(エーターム) サポートデスク」)。サポート対象の製品はNECが提供する情報を確認し、必要に応じてアップデートすることが推奨されている。