IPAセキュリティセンターおよび JPCERT/CCは8月29日、ヤマハ製の複数のネットワーク機器に複数のスクリプト・インジェク ションの脆弱性があることを、JVN (Japan Vulnerability Notes)において公表した。

この脆弱性の影響を受ける機器は以下の通り。

  • ヤマハ ブロードバンドVoIPルーター RT57i Rev.8.00.95 以前
  • ヤマハ ブロードバンドVoIPルーター RT58i Rev.9.01.51 以前
  • ヤマハ ブロードバンドVoIPルーター NVR500 Rev.11.00.36 以前
  • ヤマハ ギガアクセスVPNルーター RTX810 Rev.11.01.33 以前
  • ヤマハ ファイアウォール FWX120 Rev.11.03.25 以前
  • ギガアクセスVPNルーター「RTX810」

これらの機器の管理画面に複数のスクリプトインジェクション (CWE-74) の脆弱性が存在する。対象の製品を数の管理者が共同管理している状況において、悪意を持った管理者が細工した入力を行うことで、他の管理者が管理画面にアクセスした際に、Webブラウザ上で任意のスクリプトを実行される可能性がある。攻撃者が不正なスクリプトを実行すると、不正プログラムの感染、情報詐取、他の不正サイトへの誘導などの被害を受けるおそれがあるという。

ヤマハはそれぞれの機器に対し、脆弱性を解消したファームウェアを公開している。脆弱性の対策済みファームウェアの使用が困難な場合は、管理画面の「かんたん設定ページ」へのアクセスを無効にすることで脆弱性を回避できるという。