KDDIのホームゲートウェイ HGW-BL1500HMに複数の脆弱性、アップデートを推奨

KDDIのホームゲートウェイ「HGW-BL1500HM」に複数の脆弱性が確認されました。パッチはリリース済みなのでアップデートする事をお勧めします。

脆弱性の影響を受ける製品とバージョン

HGW-BL1500HM （バージョン Ver 002.002.003 およびそれ以前）

脆弱性の対策

最新のファームウェアへバージョンアップ

脆弱性の概要

以下複数の脆弱性が確認されています。特に

USBストレージファイル共有機能のファイルアップロード処理におけるパストラバーサル（CVE-2025-27718）とUSBストレージファイル共有機能のファイル削除処理におけるパストラバーサル（CVE-2025-27932）については脆弱性の危険性が高く

脆弱性を悪用されると、ホームゲートウェイがDDoS攻撃やサイバー攻撃の踏み台に悪用される可能性があり、ストレージ機能を悪用したデータの窃取や改ざんが可能になります。早急にバージョンアップする事をお勧めします。

1. クロスサイトスクリプティング（XSS）

(1) ニックネーム登録画面における格納型XSS（CVE-2025-27567）

• 影響: ユーザーが意図しないスクリプトを実行される可能性がある
• CVSSスコア: 5.4（中程度）

(2) USBストレージファイル共有機能における格納型XSS（CVE-2025-27574）

• 影響: ストレージ機能を利用するユーザーが、悪意のあるスクリプトを実行させられる可能性がある
• CVSSスコア: 3.6（低リスク）

2. パストラバーサル攻撃

(3) USBストレージファイル共有機能のファイル／フォルダ一覧表示処理におけるパストラバーサル（CVE-2025-27716）

• 影響: ファイルの窃取が可能
• CVSSスコア: 6.5（中リスク）

(4) USBストレージファイル共有機能のファイルアップロード処理におけるパストラバーサル（CVE-2025-27718）

• 影響: 任意のコードが実行される可能性がある
• CVSSスコア: 8.8（高リスク）

(5) USBストレージファイル共有機能のファイルダウンロード処理におけるパストラバーサル（CVE-2025-27726）

• 影響: ファイルの窃取が可能
• CVSSスコア: 2.1（低リスク）

(6) USBストレージファイル共有機能のファイル削除処理におけるパストラバーサル（CVE-2025-27932）

• 影響: ファイル削除やDoS（サービス運用妨害）の発生
• CVSSスコア: 8.1（高リスク）