JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月30日、「JVN#19482703: 株式会社NTTドコモ製 Wi-Fi STATION SH-52A におけるクロスサイトスクリプティングの脆弱性」において、NTTドコモが提供しているWi-Fiルータ「Wi-Fi STATION SH-52A」に脆弱性が報告されていることを伝えた。この脆弱性を悪用されると、クロスサイトスクリプティング(XSS)攻撃によってユーザのWebブラウザ上で任意のスクリプトを実行される危険性がある。
今回報告されている脆弱性は「 CVE-2021-20847」として追跡されているもので、次のバージョンのファームウェアがインストールされているWi-Fi STATION SH-52Aが影響を受けるという。
・ 38JP_1_11G
・ 38JP_1_11J
・38JP_1_11K
・38JP_1_11L
・38JP_1_26F
・38JP_1_26G
・38JP_1_26J
・38JP_2_03B
・38JP_2_03C
2021年12月1日時点の最新バージョンは「38JP_2_03F」であり、この最新版を適用することでCVE-2021-20847の影響を回避できるとのこと。Wi-Fi STATION SH-52Aのファームウェアのアップデート方法は次のページにまとめられている。
脆弱性の深刻度を表すCVSS v3のベーススコアは2.9であり、影響は軽微と判断されているが、最新のファームウェアではそのほかの品質改善も含まれているため、都合のいいタイミングでアップデートしておくことが推奨される。