JVNDB-2025-000002

NEC Atermシリーズにおける複数の脆弱性（NV25-003）

日本電気株式会社が提供するAtermシリーズには、次の複数の脆弱性が存在します。

• 格納型クロスサイトスクリプティング（CWE-79）- CVE-2025-0354
• 重要な機能に対する認証の欠如（CWE-306）- CVE-2025-0355
• OSコマンドインジェクション（CWE-78）- CVE-2025-0356

CVE-2025-0354、CVE-2025-0355
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：横浜国立大学 佐々木貴之 氏、吉岡克成 氏

CVE-2025-0356
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：NTTセキュリティホールディングス株式会社 梶原 翔 氏

日本電気

• Aterm GB1200PE ファームウェア Ver.1.3.0より前のバージョン（CVE-2025-0355）
• Aterm WF1200CR ファームウェア Ver.1.6.0より前のバージョン（CVE-2025-0355）
• Aterm WG1200CR ファームウェア Ver.1.5.0より前のバージョン（CVE-2025-0355）
• Aterm WG2600HM4 ファームウェア Ver.1.4.2より前のバージョン（CVE-2025-0354、CVE-2025-0355）
• Aterm WG2600HP4 ファームウェア Ver.1.4.2より前のバージョン（CVE-2025-0354、CVE-2025-0355）
• Aterm WG2600HS ファームウェア Ver.1.7.2より前のバージョン（CVE-2025-0354、CVE-2025-0355）
• Aterm WG2600HS2 ファームウェア Ver.1.3.2より前のバージョン（CVE-2025-0354、CVE-2025-0355）
• Aterm WX1500HP ファームウェア Ver.1.4.2より前のバージョン（CVE-2025-0356）
• Aterm WX3000HP ファームウェア Ver.2.4.2より前のバージョン（CVE-2025-0354、CVE-2025-0355）
• Aterm WX3600HP ファームウェア Ver.1.5.3より前のバージョン（CVE-2025-0356）
• Aterm WX4200D5 ファームウェア Ver.1.2.4より前のバージョン（CVE-2025-0354、CVE-2025-0355）

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログインしたユーザが細工した入力を行った場合、当該製品の管理画面にアクセスした他ユーザのウェブブラウザ上で任意のスクリプトを実行される（CVE-2025-0354）
• 当該製品にアクセス可能な第三者によって、Wi-Fiパスワードを窃取される（CVE-2025-0355）
• 当該製品にログインしたユーザによって細工されたリクエストを送信された場合、任意のOSコマンドを実行される（CVE-2025-0356）

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

[ワークアラウンドを実施する]
開発者は、ファームウェアを更新できない場合、ワークアラウンドの適用を推奨しています。

[現行製品の利用を停止し、後続製品に乗り換える]
開発者によると、一部製品はすでにサポートが終了しているとのことです。後続製品への乗り換え等を検討してください。

詳細は、開発者が提供する情報をご確認ください。

日本電気

• JVN : 日本電気株式会社からの情報

1. クロスサイトスクリプティング(CWE-79) [IPA評価]
2. その他(CWE-Other) [IPA評価]
3. OSコマンドインジェクション(CWE-78) [IPA評価]

1. CVE-2025-0354
2. CVE-2025-0355
3. CVE-2025-0356

1. JVN : JVN#65447879

• [2025年02月14日]
    掲載