独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月14日、NEC Atermシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。横浜国立大学の佐々木貴之氏と吉岡克成氏、NTTセキュリティホールディングス株式会社の梶原翔氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2025-0354
WG2600HS ファームウェア Ver.1.7.2より前のバージョン
WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン
WX3000HP ファームウェア Ver.2.4.2より前のバージョン
WX4200D5 ファームウェア Ver.1.2.4より前のバージョン
・CVE-2025-0355
WG2600HS ファームウェア Ver.1.7.2より前のバージョン
WF1200CR ファームウェア Ver.1.6.0より前のバージョン
WG1200CR ファームウェア Ver.1.5.0より前のバージョン
GB1200PE ファームウェア Ver.1.3.0より前のバージョン
WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン
WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン
WX3000HP ファームウェア Ver.2.4.2より前のバージョン
WX4200D5 ファームウェア Ver.1.2.4より前のバージョン
・CVE-2025-0356
WX1500HP ファームウェア Ver.1.4.2より前のバージョン
WX3600HP ファームウェア Ver.1.5.3より前のバージョン
日本電気株式会社が提供するAtermシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・格納型クロスサイトスクリプティング(CVE-2025-0354)
→当該製品にログインしたユーザが細工した入力を行った場合、当該製品の管理画面にアクセスした他ユーザのウェブブラウザ上で任意のスクリプトを実行される
・重要な機能に対する認証の欠如(CVE-2025-0355)
→当該製品にアクセス可能な第三者によって、Wi-Fiパスワードを窃取される
・OSコマンドインジェクション(CVE-2025-0356)
→当該製品にログインしたユーザによって細工されたリクエストを送信された場合、任意のOSコマンドを実行される
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。なお、ファームウェアを更新できない場合、開発者はワークアラウンドの適用を推奨している。
またJVNでは、一部製品はすでにサポートが終了しているため、後続製品への乗り換え等の検討を呼びかけている。
