掲載番号:NV25-005
脆弱性情報識別番号:CVE-2025-8153

概要

UNIVERGE IX/IX-R/IX-Vシリーズルータには、クロスサイトスクリプティング(CVE-2025-8153)が存在します。

・ユーザが細工されたURLにアクセスした場合、ユーザのブラウザ上で任意のスクリプトが実行される可能性があります。
・UNIVERGE IXシリーズに関しては、当該製品の管理画面にログインしているユーザが細工されたWebGUIメッセージを送信した場合、任意のスクリプトから、当該製品上で任意のCLIコマンドが実行される可能性があります。

対象製品

UNIVERGE IXシリーズ

対象となる製品のバージョン

UNIVERGE IXシリーズ：
　　Ver.9.5からVer.10.7の全てのバージョン
　　Ver.10.8.21～Ver.10.8.36、Ver.10.9.11～Ver.10.9.24
　　Ver.10.10.21～Ver.10.10.31、Ver.10.11.6
　　IX2105/IX2106/IX2107/IX2207/IX2025/IX2215/IX2235/IX2310/IX3015/IX3110/IX3315

UNIVERGE IX-R/IX-Vシリーズ：
　　Ver1.3.16,Ver1.3.21
　　IX-R2520/IX-R2530/IX-R2610-4G/IX-V100

対処方法

UNIVERGE IXシリーズ
https://jpn.nec.com/univerge/ix/Support/Security-Info/NV25-005.html
UNIVERGE IX-R/IX-Vシリーズ
https://jpn.nec.com/univerge/ix-nrv//Support/Security-Info/NV25-005.html

アップデートを適用できない場合、次の回避策を適用してください。
　WebGUIを無効にする

参考情報

CVE-2025-8153
https://www.cve.org/CVERecord?id=CVE-2025-8153
UNIVERGE IXシリーズ
https://jpn.nec.com/univerge/ix/Support/Security-Info/NV25-005.html
UNIVERGE IX-R/IX-Vシリーズ
https://jpn.nec.com/univerge/ix-nrv//Support/Security-Info/NV25-005.html

謝辞

本脆弱性の発見者である　GMO Flatt Security株式会社 RyotaK氏  に厚く御礼申し上げます。

更新情報