独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月3日、NEC Atermシリーズにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の塚本泰三氏、株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2026-4309
W1200EX(-MS) すべてのバージョン
WG1200HP2 すべてのバージョン
WG1900HP すべてのバージョン
WG1200HS2 すべてのバージョン
WG1800HP3 すべてのバージョン
WG1200HP3 すべてのバージョン
WG1900HP2 すべてのバージョン
WG1200HS3 すべてのバージョン
WG1800HP4 すべてのバージョン
WG1200HP4 すべてのバージョン
WG1200HS4 すべてのバージョン
WX1500HP Ver.1.4.2より前のバージョン
WG2600HS Ver.1.7.2より前のバージョン
WF1200CR Ver.1.6.0より前のバージョン
WG1200CR Ver.1.5.0より前のバージョン
WG2600HP4 Ver.1.4.2より前のバージョン
WG2600HM4 Ver.1.4.2より前のバージョン
WG2600HS2 Ver.1.3.2より前のバージョン
WX3000HP Ver.2.5.0より前のバージョン
WX3600HP Ver.1.5.3より前のバージョン
・CVE-2026-4619
WX3600HP Ver.1.5.3より前のバージョン
・CVE-2026-4620
WX1500HP Ver.1.4.2より前のバージョン
WX3600HP Ver.1.5.3より前のバージョン
・CVE-2026-4621
W1200EX(-MS) すべてのバージョン
WG1200HP2 すべてのバージョン
WG1900HP すべてのバージョン
WG1200HS2 すべてのバージョン
WG1800HP3 すべてのバージョン
WG1200HP3 すべてのバージョン
WG1900HP2 すべてのバージョン
WG1200HS3 すべてのバージョン
WG1800HP4 すべてのバージョン
WG1200HP4 すべてのバージョン
WG1200HS4 すべてのバージョン
WX1500HP Ver.1.4.2より前のバージョン
WG2600HS Ver.1.7.2より前のバージョン
WF1200CR Ver.1.6.0より前のバージョン
WG1200CR Ver.1.5.0より前のバージョン
WG2600HP4 Ver.1.4.2より前のバージョン
WG2600HM4 Ver.1.4.2より前のバージョン
WG2600HS2 Ver.1.3.2より前のバージョン
WX3000HP Ver.2.5.0より前のバージョン
WX3000HP2 Ver.1.3.2より前のバージョン
WX3600HP Ver.1.5.3より前のバージョン
・CVE-2026-4622
WG2600HS Ver.1.7.2より前のバージョン
WF1200CR Ver.1.6.0より前のバージョン
WG1200CR Ver.1.5.0より前のバージョン
WG2600HP4 Ver.1.4.2より前のバージョン
WG2600HM4 Ver.1.4.2より前のバージョン
WG2600HS2 Ver.1.3.2より前のバージョン
WX3000HP Ver.2.5.0より前のバージョン
WX3000HP2 Ver.1.3.2より前のバージョン
日本電気株式会社が提供するAtermシリーズには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・権限チェックの欠如(CVE-2026-4309)
→装置固有の情報を取得され、結果として設定を変更される
・パストラバーサル(CVE-2026-4619)
→任意のファイルを上書きされる
・OSコマンドインジェクション(CVE-2026-4620、CVE-2026-4622)
→任意のOSコマンドを実行される
・セキュリティ上問題のある隠し機能(CVE-2026-4621)
→ telnetサービスを有効化される
機種によって対策は異なっており、JVNでは開発者が提供する情報を確認するよう呼びかけている。
