IPA(独立行政法人情報処理推進機構)セキュリティセンターと、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、NECプラットフォームズのWi-Fi(無線LAN)ルータ「Aterm」シリーズの「WF1200CR」「WG1200CR」「WG2600H」に関して、OSコマンドインジェクションの脆弱性が存在することを公開した。

  • Aterm WG2600H

1つは「UPnP機能におけるOSコマンドインジェクション (CWE-78) - CVE-2020-5524」で、CVSS v3による深刻度は「8.8」(重要)、CVSS v2による深刻度は「8.3」(危険)。

もう1つの「管理画面におけるOSコマンドインジェクション (CWE-78) - CVE-2020-5525」は、CVSS v3による深刻度は「6.8」(警告)、CVSS v2による深刻度は「7.7」(危険)。

影響を受ける可能性として、「UPnP機能のインタフェースにアクセス可能なユーザーによってroot権限で任意のOSコマンドを実行される」、「当該製品の管理画面にアクセス可能なユーザーによってroot権限で任意のOSコマンドを実行される」を挙げている。

対象となる製品のソフトウェアバージョンは以下の通り。いずれも修正バージョンが公開されているので、当該製品のユーザーはすみやかにアップデートしてほしい。

  • WF1200CR:Ver1.2.1以前
  • WG1200CR:Ver1.2.1以前
  • WG2600HS:Ver1.3.2以前