Sophosは無線AP「AP6シリーズ」のファームウェアに存在した認証バイパス脆弱性(CVE-2025-10159)を修正しました。
管理用IPに到達できる攻撃者が管理者権限を奪取できる重大な不具合で、CVSS 9.8(Critical)と評価されています。
Sophosの内部セキュリティテストで発見され、現時点で実害(悪用)の報告は無し。デフォルトで自動更新を有効にしている環境では、原則として追加作業は不要です。
影響バージョン
影響を受けるのは、AP6シリーズのファームウェアが「1.7.2563(MR7)」未満の機体です。
管理プレーン(管理IP)に到達可能なネットワーク配置になっている場合、認証を経ずに管理操作を許してしまう可能性があり、設定改ざん、悪性SSIDの追加、トラフィック監視や中間者攻撃の足掛かりなど、ネットワーク全体に波及するリスクがあります。
修正バージョン
修正はAP6シリーズ ファームウェア 1.7.2563(MR7)以降(2025年8月11日以降のリリース)に含まれています。
Sophos Wirelessの既定ポリシーで自動更新を利用している場合は自動適用されます。一方、自動更新を無効化している環境は、手動で1.7.2563(MR7)以降へアップグレードしてください。ワークアラウンド(恒久的な暫定回避策)は提供されていません。
CVE-2025-10159は、認証迂回 × 管理権限奪取という組み合わせのため、実装箇所は限定的でも影響はネットワーク横断になり得ます。実害報告がない段階での公表・修正は評価できますが、「管理IPに到達できるか」は各社の設計・運用に依存します。MR7以降への更新と管理面の露出最小化を同時に実施することで、実効リスクを大きく下げられます。








