エレコム製無線LANルータに複数の深刻な脆弱性、サポート終了製品も含まれる(CVE-2025-43879,CVE-2025-48890)

セキュリティニュース

投稿日時: 更新日時:

エレコム製無線LANルータに複数の深刻な脆弱性、サポート終了製品も含まれる(CVE-2025-43879,CVE-2025-48890)

2025年6月24日、エレコム株式会社が提供する複数の無線LANルータ製品において、任意のコード実行やクロスサイトスクリプティングなど、深刻な複数の脆弱性が報告されました。対象機種には既にサポートが終了している製品も含まれており、利用者にはアップデートや後継機種への移行が強く推奨されています。

対象製品と脆弱性の概要

以下の製品に、それぞれ異なるCVEが割り当てられた脆弱性が存在します

CVE-2025-36519(ファイルアップロード検証不備)

  • 対象:WRC-2533GST2 v1.31以前、WRC-1167GST2 v1.34以前
  • 危険度:CVSS 4.0 基本値 5.3
  • 影響:ログイン可能な攻撃者による任意コード実行

CVE-2025-41427(接続確認画面でのOSコマンドインジェクション)

  • 対象:WRC-X3000GS / GSA / GSN各シリーズ
  • 危険度:CVSS 4.0 基本値 8.7
  • 影響:ログインユーザーによるOSコマンド実行

CVE-2025-43877(Web管理画面の格納型XSS)

  • 対象:WRC-1167GHBK2-S(全バージョン)
  • 危険度:CVSS 4.0 基本値 4.8
  • 影響:ブラウザ上でのスクリプト実行

CVE-2025-43879 / CVE-2025-48890(OSコマンドインジェクション)

  • 対象:WRH-733GBK / GWH(全バージョン)
  • 危険度:CVSS 4.0 基本値 9.3
  • 影響:認証不要でのコマンド実行

想定される影響

これらの脆弱性により、攻撃者は以下のような行為が可能になります:

  • ファイルを不正にアップロードし任意のコードを実行
  • OSコマンドを実行してネットワーク制御や情報窃取
  • 管理画面利用者のブラウザでスクリプトを実行し、情報を盗み取る

対応策と推奨行動

ファームウェアアップデート

  • CVE-2025-36519、CVE-2025-41427:メーカーが提供する最新版ファームウェアへのアップデート

製品の使用中止と後継機種への移行

  • CVE-2025-43877、CVE-2025-43879、CVE-2025-48890:対象製品はすでにサポート終了
  • 後継機種への速やかな移行が推奨されます

参照

https://jvn.jp/jp/JVN39435597/index.html