バッファローは2026年3月23日、一部ネットワーク製品に複数の脆弱性があるとして対処方法を公表しました。対象はWi-Fiルーター、Wi-Fi中継機、VPNルーター、アクセスポイントなど計46製品で、このうち39製品は対策済みファームウェアが提供され、7製品はサポート終了のため更新版が提供されません。Japan Vulnerability Notesは2026年3月27日、この件を JVN#83788689 として公開しています。
今回の脆弱性は、情報漏えい、OSコマンドインジェクション、コードインジェクション、認証回避、非公開のデバッグ機能悪用、サービス運用妨害の6種類です。JVNによると、CVE-2026-27650、CVE-2026-32669、CVE-2026-32678、CVE-2026-33280、CVE-2026-33366が割り当てられており、脆弱な mini_httpd に起因する問題も含まれます。CVSS v4.0 の基本値は最大 8.7 で、高リスクの問題が含まれます。
何が起きたか
バッファローの公表によると、対象商品には複数の脆弱性が存在し、攻撃者がログイン画面に到達できる場合や、ネットワーク経由で対象機器にアクセスできる場合に悪用される可能性があります。想定される影響として、設定情報の窃取、任意のOSコマンド実行、任意コード実行、認証なしのファームウェア更新や設定情報窃取、デバッグ機能を通じたコマンド実行、強制再起動が挙げられています。
特に重要なのは、Internet側リモートアクセス設定を許可する設定が有効な場合、インターネット側から攻撃を実行される可能性があるとバッファローが明記している点です。つまり、管理画面への到達性が内部ネットワーク内に限定されているか、外部公開されているかで、実際のリスクは大きく変わります。情報システム部門としては、単にファームウェア更新の有無だけでなく、対象機器の公開設定もあわせて確認する必要があります。
対象製品
本脆弱性の影響を受ける機器は、同社のルーターやアクセスポイントなど多岐にわたります。バッファローは対象機器を、対策パッチが提供される「対象商品A」と、サポートが終了している「対象商品B」の2つに分類しています。
対象商品A(対策ファームウェアが提供される主なシリーズ)
-
Wi-Fiルーター: WXRシリーズ、WSRシリーズ、WZRシリーズ(一部)、WRMシリーズ、WTRシリーズ など
-
Wi-Fi中継機: WEMシリーズ
-
VPNルーター: VR-U300W、VR-U500X
-
アクセスポイント: WAPMシリーズ、WAPSシリーズ
-
FREESPOT: FS-M1266、FS-S1266
※各シリーズの具体的な該当型番および必要なファームウェアのバージョンについては、
対象商品B(サポート終了につきパッチが提供されない商品)
以下の製品はすでにサポート期間を終了しているため、対策ファームウェアは提供されません。
-
WZRシリーズ: WZR-600DHP、WZR-600DHP2、WZR-600DHP3、WZR-900DHP、WZR-900DHP2、WZR-S600DHP、WZR-S900DHP
脆弱性の内容
今回の脆弱性群のうち、最も注目すべきなのは、認証回避とコード実行に関わる問題です。JVNでは、コードインジェクションの CVE-2026-32669 が CVSS v4.0 基本値 8.7、認証回避の CVE-2026-32678 が同じく 8.7、OSコマンドインジェクションの CVE-2026-27650 とデバッグ機能悪用の CVE-2026-33280 が 8.6 と評価されています。これらは、攻撃条件がそろえば機器設定の改ざんや任意コード実行につながる可能性があります。
また、情報漏えいの問題は mini_httpd の脆弱性 CVE-2015-1548 に起因しており、プロセスメモリから機微情報が漏えいする可能性があるとされています。サービス運用妨害の CVE-2026-33366 は、対象機器を強制的に再起動させるおそれがあり、機密性だけでなく可用性にも影響します。
ルーターやアクセスポイントは業務継続の基盤であるため、再起動を誘発できる脆弱性も軽視できません。
対策
対象商品Aについて、バッファローは脆弱性に対応したファームウェアへアップデートするよう求めています。あわせて、該当製品でファームウェア自動更新機能が有効になっている場合は、アップデートが自動的に実行されているため追加対応は不要と案内しています。実務上は、単に自動更新機能の有無を見るだけでなく、実際に対策済みバージョンへ更新済みかを管理画面で確認した方が確実です。
対象商品Bについては、サポート期間終了のため恒久対策として商品の使用停止を推奨しています。
バッファローは新商品への移行も検討するよう呼びかけており、DLPAが推奨するルーター一覧への案内も掲載しています。サポート終了機器を使い続けること自体が、今後の脆弱性対応不能リスクを抱え込むことになるため、情シス部門としては単発の今回対応ではなく、計画的な更改対象として扱うべきです。








