JVN#65447879
NEC Atermシリーズにおける複数の脆弱性（NV25-003）

日本電気株式会社が提供するAtermシリーズには、複数の脆弱性が存在します。

CVE-2025-0354

• WG2600HS ファームウェア Ver.1.7.2より前のバージョン
• WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン
• WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン
• WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン
• WX3000HP ファームウェア Ver.2.4.2より前のバージョン
• WX4200D5 ファームウェア Ver.1.2.4より前のバージョン

• WG2600HS ファームウェア Ver.1.7.2より前のバージョン
• WF1200CR ファームウェア Ver.1.6.0より前のバージョン
• WG1200CR ファームウェア Ver.1.5.0より前のバージョン
• GB1200PE ファームウェア Ver.1.3.0より前のバージョン
• WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン
• WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン
• WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン
• WX3000HP ファームウェア Ver.2.4.2より前のバージョン
• WX4200D5 ファームウェア Ver.1.2.4より前のバージョン

• WX1500HP ファームウェア Ver.1.4.2より前のバージョン
• WX3600HP ファームウェア Ver.1.5.3より前のバージョン

日本電気株式会社が提供するAtermシリーズには、次の複数の脆弱性が存在します。

• 格納型クロスサイトスクリプティング（CWE-79）
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8
  • CVE-2025-0354
• 重要な機能に対する認証の欠如（CWE-306）
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
  • CVE-2025-0355
• OSコマンドインジェクション（CWE-78）
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
  • CVE-2025-0356

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログインしたユーザが細工した入力を行った場合、当該製品の管理画面にアクセスした他ユーザのウェブブラウザ上で任意のスクリプトを実行される（CVE-2025-0354）
• 当該製品にアクセス可能な第三者によって、Wi-Fiパスワードを窃取される（CVE-2025-0355）
• 当該製品にログインしたユーザによって細工されたリクエストを送信された場合、任意のOSコマンドを実行される（CVE-2025-0356）

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、ファームウェアを更新できない場合、ワークアラウンドの適用を推奨しています。

現行製品の利用を停止し、後続製品に乗り換える
開発者によると、一部製品はすでにサポートが終了しているとのことです。後続製品への乗り換え等を検討してください。

詳細は、開発者が提供する情報をご確認ください。