2025年6月24日、エレコム株式会社が提供する複数の無線LANルータ製品において、任意のコード実行やクロスサイトスクリプティングなど、深刻な複数の脆弱性が報告されました。対象機種には既にサポートが終了している製品も含まれており、利用者にはアップデートや後継機種への移行が強く推奨されています。
目次
対象製品と脆弱性の概要
以下の製品に、それぞれ異なるCVEが割り当てられた脆弱性が存在します
CVE-2025-36519(ファイルアップロード検証不備)
- 対象:WRC-2533GST2 v1.31以前、WRC-1167GST2 v1.34以前
- 危険度:CVSS 4.0 基本値 5.3
- 影響:ログイン可能な攻撃者による任意コード実行
CVE-2025-41427(接続確認画面でのOSコマンドインジェクション)
- 対象:WRC-X3000GS / GSA / GSN各シリーズ
- 危険度:CVSS 4.0 基本値 8.7
- 影響:ログインユーザーによるOSコマンド実行
CVE-2025-43877(Web管理画面の格納型XSS)
- 対象:WRC-1167GHBK2-S(全バージョン)
- 危険度:CVSS 4.0 基本値 4.8
- 影響:ブラウザ上でのスクリプト実行
CVE-2025-43879 / CVE-2025-48890(OSコマンドインジェクション)
- 対象:WRH-733GBK / GWH(全バージョン)
- 危険度:CVSS 4.0 基本値 9.3
- 影響:認証不要でのコマンド実行
想定される影響
これらの脆弱性により、攻撃者は以下のような行為が可能になります:
- ファイルを不正にアップロードし任意のコードを実行
- OSコマンドを実行してネットワーク制御や情報窃取
- 管理画面利用者のブラウザでスクリプトを実行し、情報を盗み取る
対応策と推奨行動
ファームウェアアップデート
- CVE-2025-36519、CVE-2025-41427:メーカーが提供する最新版ファームウェアへのアップデート
製品の使用中止と後継機種への移行
- CVE-2025-43877、CVE-2025-43879、CVE-2025-48890:対象製品はすでにサポート終了
- 後継機種への速やかな移行が推奨されます
参照








