「Aterm WG2600HS」など複数のNEC製のWi-Fiルーターに脆弱性、最新版へのアップデートを

　日本電気株式会社（NEC）が提供するAtermシリーズの複数の無線LANルーターに脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」が情報を公開した。

　脆弱性の影響を受ける製品は以下の通り。

• Aterm WG2600HS ファームウェア Ver1.3.2以前
• Aterm WF1200CR ファームウェア Ver1.2.1以前
• Aterm WG1200CR ファームウェア Ver1.2.1以前

　これらの製品には、UPnP機能におけるOSコマンドインジェクション（CVE-2020-5524）および管理画面におけるOSコマンドインジェクションの脆弱性が存在する。CVSS v3のスコアはCVE-2020-5524が8.8、CVE-2020-5525が6.8。

　想定される影響として、対象製品の管理画面やUPnP機能のインターフェースにアクセス可能なユーザーによって、root権限で任意のOSコマンドを実行される恐れがある。

　このほか、Aterm WG2600HSにはクロスサイトスクリプティング（CVE-2020-5533）およびOSコマンドインジェクション（CVE-2020-5534）の脆弱性も存在する。CVSS v3のスコアはCVE-2020-5533が6.1、CVE-2020-5534が8.0。

　当該製品にログイン可能なユーザーのウェブブラウザー上で任意のスクリプトを実行されたり、HTTPサービスにログイン可能なユーザーによって、root権限で任意のOSコマンドを実行される恐れがある。

　対策として最新版の適用を呼び掛けている。この問題を修正したファームウェアの最新バージョンはWG2600HSが「1.5.1」、WF1200CRが「1.3.2」、WG1200CRが「1.3.3」になる。