独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月18日、Rakuten Turbo 5Gにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NeroTeam Security LabsのSamy Younsi氏が報告を行っている。影響を受けるシステムは以下の通り。
Rakuten Turbo 5G ファームウェアバージョン V1.3.18およびそれ以前
楽天モバイル株式会社が提供するRakuten Turbo 5Gには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・重要な機能に対する認証の欠如(CVE-2024-47865)
→当該デバイスのファームウェアをアップデートされたりダウングレードされたりする
・OSコマンドインジェクション(CVE-2024-48895)
→任意のOSコマンドを実行される
・認証なしで機微なシステム情報へアクセス可能(CVE-2024-52033)
→接続中の機器情報が取得される
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。
