IPAセキュリティセンターおよびJPCERT/CCは12月14日、NEC製無線LANルータ「Aterm WF1200CR」「Aterm WG1200CR」における複数の脆弱性に関する情報をJVN(Japan Vulnerability Notes)において公表した。
「Aterm WF1200CR」「Aterm WG1200CR」には、次の脆弱性が存在する。
- 情報漏えい - CVE-2018-16192
- 格納型のクロスサイト・スクリプティング - CVE-2018-16193
- OS コマンド・インジェクション - CVE-2018-16194
- UPnP の SOAP インターフェイスによる OS コマンド・インジェクション - CVE-2018-16195
CVE-2018-1619を悪用されると、対象の製品にアクセス可能な第三者によって、製品に登録されている情報を取得されるおそれがある。
CVE-2018-16193を悪用されると、対象の製品にログインしているユーザーのWebブラウザ上で、任意のスクリプトを実行されるおそれがある。
CVE-2018-16194を悪用されると、対象の製品にログイン可能なユーザーによって、任意の OS コマンドを実行されるおそれがある。
CVE-2018-16195を悪用されると、対象の製品にアクセス可能な第三者が、UPnP機能を利用して製品に不正なパラメータを読み込ませることで、任意のOSコマンドが実行されるおそれがある。
NECからは脆弱性を修正したファームウェアが提供されているので、対象の製品を利用している場合はファームウェアのバージョンアップを行うことが推奨される。