JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月6日、「Japan Vulnerability Notes(JVN)」に掲載した記事『JVN#36048131: 「MagicalFinder (マジカルファインダー)」に対応したアイ・オー・データ製複数の機器における OS コマンドインジェクションの脆弱性』において、アイ・オー・データ機器の複数のプロダクトに存在する脆弱性について伝えた。
具体的には、アイ・オー・データ機器が提供するIPアドレス設定ツール「MagicalFinder (マジカルファインダー)」に対応した以下の製品にOSコマンドインジェクションの脆弱性が存在するという。この脆弱性を悪用されると、機器にログイン可能なユーザーによって任意のOSコマンドが実行されるおそれがある。
対象の脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- HDL-XR/XRW シリーズ ファームウェアバーション 2.01 およびそれよりも前のバージョン
- HDL-XR2U/XR2UW シリーズ ファームウェアバーション 2.01 およびそれよりも前のバージョン
- HDL-XV/XVW シリーズ ファームウェアバーション 1.50 およびそれよりも前のバージョン
- HDL-GT シリーズ ファームウェアバーション 1.37 およびそれよりも前のバージョン
- HDL-GTR シリーズ ファームウェアバーション 1.37 およびそれよりも前のバージョン
- HDL-A/AH シリーズ ファームウェアバーション 1.26 およびそれよりも前のバージョン
- HDL2-A/AH シリーズ ファームウェアバーション 1.26 およびそれよりも前のバージョン
- HDL-T シリーズ ファームウェアバーション 1.12 およびそれよりも前のバージョン
- HLS-C シリーズ ファームウェアバーション 1.12 およびそれよりも前のバージョン
- HVL-A/AT/ATA シリーズ ファームウェアバーション 2.04 およびそれよりも前のバージョン
- HVL-S シリーズ ファームウェアバーション 1.00 およびそれよりも前のバージョン
- HFAS1 シリーズ ファームウェアバーション 1.40 およびそれよりも前のバージョン
- WHG-NAPG/A ファームウェアバーション 1.08 およびそれよりも前のバージョン
- WHG-NAPG/AL ファームウェアバーション 1.05 およびそれよりも前のバージョン
- WHG-AC1750/A ファームウェアバーション 3.00 およびそれよりも前のバージョン
- WHG-AC1750/AL ファームウェアバーション 1.07 およびそれよりも前のバージョン
- WN-AX1167GR ファームウェアバーション 3.11 およびそれよりも前のバージョン
- WN-GX300GR ファームウェアバーション 2.00 およびそれよりも前のバージョン
- WNPR2600G ファームウェアバーション 1.01 およびそれよりも前のバージョン
- WNPR1750G ファームウェアバーション 1.01 およびそれよりも前のバージョン
- WNPR1167G ファームウェアバーション 1.00 およびそれよりも前のバージョン
- WNPR1167F ファームウェアバーション 1.00 およびそれよりも前のバージョン
- WN-AG750DGR ファームウェアバーション 1.08 およびそれよりも前のバージョン
- WN-G300R ファームウェアバーション 1.14 およびそれよりも前のバージョン
- WN-G300R3 ファームウェアバーション 1.04 およびそれよりも前のバージョン
- WN-AG300DGR ファームウェアバーション 1.05 およびそれよりも前のバージョン
- WN-AC1600DGR ファームウェアバーション 2.06 およびそれよりも前のバージョン
- WN-AC1167DGR ファームウェアバーション 1.02 およびそれよりも前のバージョン
- WN-G300EX ファームウェアバーション 1.01 およびそれよりも前のバージョン
- WN-AC1300EX ファームウェアバーション 1.02 およびそれよりも前のバージョン
- WN-AC583TRK ファームウェアバーション 1.05 およびそれよりも前のバージョン
- WN-AC583RK ファームウェアバーション 1.06 およびそれよりも前のバージョン
- WN-G300SR ファームウェアバーション 1.00 およびそれよりも前のバージョン
- BX-VP1 ファームウェアバーション 2.01 およびそれよりも前のバージョン
- GV-NTX1 ファームウェアバーション 1.02.00 およびそれよりも前のバージョン
- GV-NTX2 ファームウェアバーション 1.02.00 およびそれよりも前のバージョン
アイ・オー・データ機器は同脆弱性に対応したファームウェアを公開しているので、該当の機器を利用している場合は、同社のWebサイトを確認して迅速に対応することが望まれる。