掲載番号:NV25-003
脆弱性情報識別番号CVE-2025-0354、CVE-2025-0355、CVE-2025-0356

概要

Atermシリーズには、複数の脆弱性が存在しています。

・XSSの脆弱性(CVE-2025-0354)：悪意ある第三者によって製品がアクセスされた場合、任意のコマンドやスクリプトが実行される可能性
・アクセス制限不備の脆弱性(CVE-2025-0355)：悪意ある第三者によって製品がアクセスされた場合、装置情報が読み取られる可能性
・OSコマンドインジェクションの脆弱性(CVE-2025-0356)：悪意ある第三者によって製品がアクセスされた場合、任意のコマンドやスクリプトが実行される可能性

対象製品

Aterm

対象となる製品のバージョン

・XSSの脆弱性(CVE-2025-0354)
　　WG2600HS：Ver.1.7.2より前
　　WG2600HP4：Ver.1.4.2より前
　　WG2600HM4：Ver.1.4.2より前
　　WG2600HS2：Ver.1.3.2より前
　　WX3000HP：Ver.2.4.2より前
　　WX4200D5：Ver.1.2.4より前
 
・アクセス制限不備の脆弱性(CVE-2025-0355)
　　WG2600HS：Ver.1.7.2より前
　　WF1200CR：Ver.1.6.0より前
　　WG1200CR：Ver.1.5.0より前
　　GB1200PE：Ver.1.3.0より前
　　WG2600HP4：Ver.1.4.2より前
　　WG2600HM4：Ver.1.4.2より前
　　WG2600HS2：Ver.1.3.2より前
　　WX3000HP：Ver.2.4.2より前
　　WX4200D5：Ver.1.2.4より前
 
・OSコマンドインジェクションの脆弱性(CVE-2025-0356)
　　WX1500HP：Ver.1.4.2より前
　　WX3600HP：Ver.1.5.3より前

対処方法

以下のページを参照して対処ください。
https://www.aterm.jp/support/tech/2025/0115.html

参考情報

CVE-2025-0354
https://www.cve.org/CVERecord?id=CVE-2025-0354
CVE-2025-0355
https://www.cve.org/CVERecord?id=CVE-2025-0355
CVE-2025-0356
https://www.cve.org/CVERecord?id=CVE-2025-0356

謝辞

本脆弱性の発見者である　梶原 翔氏、横浜国立大学　佐々木　貴之氏  に厚く御礼申し上げます。

更新情報