JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月19日、Japan Vulnerability Notes(JVN)に掲載した記事「JVN#25766797: Aterm WF1200CR 、WG1200CR および WG2600HS における複数の OS コマンドインジェクションの脆弱性」および「JVN#49410695: Aterm WG2600HS における複数の脆弱性」において、NECのWi-Fiルータの脆弱性について伝えた。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- Aterm WF1200CR ファームウェア Ver1.2.1 およびそれよりも前のバージョン
- Aterm WG1200CR ファームウェア Ver1.2.1 およびそれよりも前のバージョン
- Aterm WG2600HS ファームウェア Ver1.3.2 およびそれよりも前のバージョン
脆弱性を悪用されると、次のような影響を受ける可能性があるとされている。
- UPnP機能のインタフェースにアクセスできるユーザーによってroot権限で任意のOSコマンドを実行される
- 管理画面にアクセスできるユーザーによってroot権限で任意のOSコマンドを実行される
- ログインしているユーザーのWebブラウザで任意のスクリプトが実行される(Aterm WG2600HSのみ)
- HTTPサービスにログインできるユーザーによってroot権限で任意のOSコマンドが実行される(Aterm WG2600HSのみ)
該当するプロダクトを使用している場合は、ベンダーが提供している情報をもとにファームウェアを最新版へアップデートすることが推奨されている。深刻度が重大(High)に分類される脆弱性が含まれており注意が必要。