|
[English]
|
JVNDB-2025-002990
|
因幡電機産業製 Wi-Fi AP UNIT「AC-WPS-11ac シリーズ」における複数の脆弱性
|
|
因幡電機産業株式会社が提供する Wi-Fi AP UNIT「AC-WPS-11ac シリーズ」には、次の複数の脆弱性が存在します。
- Web管理画面における不適切な権限管理(CWE-266) - CVE-2025-23407
- Web管理画面におけるOSコマンドインジェクション(CWE-78) - CVE-2025-25053
- クロスサイトリクエストフォージェリ(CWE-352) - CVE-2025-25056
- フレームの不適切な制限(CWE-1021) - CVE-2025-25213
- 重要な情報の平文通信(CWE-319) - CVE-2025-27722
- 特定のサービスにおけるOSコマンドインジェクション(CWE-78) - CVE-2025-27797
- 特定のサービスにおける認証情報の情報漏えい(CWE-497) - CVE-2025-27934
- 重要な機能に対する認証の欠如(CWE-306) - CVE-2025-29870
この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2025-27797 の評価になります。
|
CVSS v3 による深刻度
基本値:8.8 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2025-25053 の評価になります。
|
CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2025-27934 の評価になります。
|
CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2025-29870 の評価になります。
|
CVSS v3 による深刻度
基本値:6.5 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): なし
※上記は、CVE-2025-25213 の評価になります。
|
CVSS v3 による深刻度
基本値:5.9 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2025-27722 の評価になります。
|
CVSS v3 による深刻度
基本値:4.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): なし
※上記は、CVE-2025-23407 の評価になります。
|
CVSS v3 による深刻度
基本値:4.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): なし
※上記は、CVE-2025-25056 の評価になります。
|
|
|
因幡電機産業株式会社
- AC-PD-WPS-11ac v2.0.03P およびそれ以前のバージョン
- AC-PD-WPS-11ac-P v2.0.03P およびそれ以前のバージョン
- AC-WPS-11ac v2.0.03P およびそれ以前のバージョン
- AC-WPS-11ac-P v2.0.03P およびそれ以前のバージョン
- AC-WPSM-11ac v2.0.03P およびそれ以前のバージョン
- AC-WPSM-11ac-P v2.0.03P およびそれ以前のバージョン
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 本来操作権限のない設定を変更される(CVE-2025-23407)
- 攻撃者によって、任意のOSコマンドを実行される(CVE-2025-25053、CVE-2025-27797)
- 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2025-25056)
- 当該製品の管理画面にログイン済みのユーザが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる(CVE-2025-25213)
- 中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受され、認証情報が窃取される(CVE-2025-27722)
- 攻撃者によって、当該製品の認証情報を取得される(CVE-2025-27934)
- 攻撃者によって、当該製品の認証情報を含む設定情報を取得される(CVE-2025-29870)
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
本脆弱性は、次のバージョンで修正されています。
- AC-WPS-11ac v2.0.06.13P
- AC-WPS-11ac-P v2.0.06.13P
- AC-WPSM-11ac v2.0.06.13P
- AC-WPSM-11ac-P v2.0.06.13P
- AC-PD-WPS-11ac v2.0.06.13P
- AC-PD-WPS-11ac-P v2.0.06.13P
[ワークアラウンドを実施する]
開発者は、アップデートとあわせワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報を確認してください。
|
|
因幡電機産業株式会社
|
|
- レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限(CWE-1021) [その他]
- 不適切な権限設定(CWE-266) [その他]
- 重要な機能に対する認証の欠如(CWE-306) [その他]
- 重要な情報の平文での送信(CWE-319) [その他]
- クロスサイトリクエストフォージェリ(CWE-352) [その他]
- 認可されていない制御領域への重要情報の漏えい(CWE-497) [その他]
- OSコマンドインジェクション(CWE-78) [その他]
|
|
- CVE-2025-23407
- CVE-2025-25053
- CVE-2025-25056
- CVE-2025-25213
- CVE-2025-27722
- CVE-2025-27797
- CVE-2025-27934
- CVE-2025-29870
|
|
- JVN : JVNVU#93925742
|
|
|
