公開日:2025/04/04 最終更新日:2025/04/04

JVNVU#93925742
因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性

概要

因幡電機産業株式会社が提供するWi-Fi AP UNIT「AC-WPS-11acシリーズ」には、複数の脆弱性が存在します。

影響を受けるシステム

  • AC-WPS-11ac v2.0.03Pおよびそれ以前のバージョン
  • AC-WPS-11ac-P v2.0.03Pおよびそれ以前のバージョン
  • AC-WPSM-11ac v2.0.03Pおよびそれ以前のバージョン
  • AC-WPSM-11ac-P v2.0.03Pおよびそれ以前のバージョン
  • AC-PD-WPS-11ac v2.0.03Pおよびそれ以前のバージョン
  • AC-PD-WPS-11ac-P v2.0.03Pおよびそれ以前のバージョン

詳細情報

因幡電機産業株式会社が提供するWi-Fi AP UNIT「AC-WPS-11acシリーズ」には、次の複数の脆弱性が存在します。

  • Web管理画面における不適切な権限管理(CWE-266
    • CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3
    • CVE-2025-23407
  • Web管理画面におけるOSコマンドインジェクション(CWE-78
    • CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
    • CVE-2025-25053
  • クロスサイトリクエストフォージェリ(CWE-352
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3
    • CVE-2025-25056
  • フレームの不適切な制限(CWE-1021
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値 6.5
    • CVE-2025-25213
  • 重要な情報の平文通信(CWE-319
    • CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 5.9
    • CVE-2025-27722
  • 特定のサービスにおけるOSコマンドインジェクション(CWE-78
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
    • CVE-2025-27797
  • 特定のサービスにおける認証情報の情報漏えい(CWE-497
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
    • CVE-2025-27934
  • 重要な機能に対する認証の欠如(CWE-306
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
    • CVE-2025-29870

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 本来操作権限のない設定を変更される(CVE-2025-23407)
  • 攻撃者によって、任意のOSコマンドを実行される(CVE-2025-25053、CVE-2025-27797)
  • 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2025-25056)
  • 当該製品の管理画面にログイン済みのユーザが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる(CVE-2025-25213)
  • 中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受され、認証情報が窃取される(CVE-2025-27722)
  • 攻撃者によって、当該製品の認証情報を取得される(CVE-2025-27934)
  • 攻撃者によって、当該製品の認証情報を含む設定情報を取得される(CVE-2025-29870)

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
本脆弱性は、次のバージョンで修正されています。

  • AC-WPS-11ac v2.0.06.13P
  • AC-WPS-11ac-P v2.0.06.13P
  • AC-WPSM-11ac v2.0.06.13P
  • AC-WPSM-11ac-P v2.0.06.13P
  • AC-PD-WPS-11ac v2.0.06.13P
  • AC-PD-WPS-11ac-P v2.0.06.13P

ワークアラウンドを実施する
開発者は、アップデートとあわせワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報を確認してください。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-23407
CVE-2025-25053
CVE-2025-25056
CVE-2025-25213
CVE-2025-27722
CVE-2025-27797
CVE-2025-27934
CVE-2025-29870
JVN iPedia