IPAセキュリティセンターおよびJPCERT/CCは12月14日、NEC製無線LANルータ「Aterm WF1200CR」「Aterm WG1200CR」における複数の脆弱性に関する情報をJVN(Japan Vulnerability Notes)において公表した。

「Aterm WF1200CR」「Aterm WG1200CR」には、次の脆弱性が存在する。

  • 情報漏えい - CVE-2018-16192
  • 格納型のクロスサイト・スクリプティング - CVE-2018-16193
  • OS コマンド・インジェクション - CVE-2018-16194
  • UPnP の SOAP インターフェイスによる OS コマンド・インジェクション - CVE-2018-16195

CVE-2018-1619を悪用されると、対象の製品にアクセス可能な第三者によって、製品に登録されている情報を取得されるおそれがある。

CVE-2018-16193を悪用されると、対象の製品にログインしているユーザーのWebブラウザ上で、任意のスクリプトを実行されるおそれがある。

CVE-2018-16194を悪用されると、対象の製品にログイン可能なユーザーによって、任意の OS コマンドを実行されるおそれがある。

CVE-2018-16195を悪用されると、対象の製品にアクセス可能な第三者が、UPnP機能を利用して製品に不正なパラメータを読み込ませることで、任意のOSコマンドが実行されるおそれがある。

NECからは脆弱性を修正したファームウェアが提供されているので、対象の製品を利用している場合はファームウェアのバージョンアップを行うことが推奨される。

  • Aterm WF1200CR および Aterm WG1200CR における複数の脆弱性を告知するNECのWebサイト