NEC製の一部ルータにroot権限でコマンド実行されるおそれ

NECが提供するAtermシリーズの一部無線LANルータにOSコマンドインジェクションなど複数の脆弱性が明らかとなった。アップデートがリリースされている。

脆弱性情報のポータルサイトであるJVNによれば、「WG2600HS」には、3件のOSコマンドインジェクションの脆弱性が存在。いずれも悪用されるとroot権限でコードを実行されるおそれがある。

具体的には、「UPnP」経由でコマンドの実行が可能となる「CVE-2020-5524」をはじめ、管理画面に存在する「CVE-2020-5525」、「HTTPサービス」へログインできるユーザーによって悪用されるおそれがある「CVE-2020-5534」が判明した。くわえてクロスサイトスクリプティングの脆弱性「CVE-2020-5533」が明らかとなっている。

また「WF1200CR」「WG1200CR」に関しても、OSコマンドインジェクションの脆弱性「CVE-2020-5524」「CVE-2020-5525」が含まれることが判明した。

同社では、各製品向けに脆弱性を修正するファームウェアのアップデートをリリース。利用者へ対応を呼びかけている。

（Security NEXT - 2020/02/20 ） ツイート

PR

関連記事

ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
「GitLab」に5件の脆弱性 - 最新パッチで修正
「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
NVIDIAのAI開発フレームワーク「NeMo」に3件の脆弱性