NECのAtermシリーズの一部機種に、管理画面を通じて意図しない命令を実行されるおそれがある脆弱性が確認されました。
対象機種を使っている場合は、提供元の案内を確認し、最新版へのアップデートを進めてください。
脆弱性の概要
日本電気株式会社が提供するAtermシリーズに、OSコマンドインジェクションと呼ばれる脆弱性があると発表されています。
これは、機器の管理画面などを通じて、本来実行されるべきではない命令が機器内部で動いてしまう可能性がある問題です。
JVNによると、管理者としてWebコンソールにログインできる第三者によって、任意のOSコマンドを実行される可能性があります。
影響を受けるシステム
- MR51FN Ver.3.4.0より前のバージョン
- CM51FD Ver.1.2.0より前のバージョン
取るべき対策
- 使用しているAterm製品の機種名とバージョンを確認してください。
- 対象機種に該当する場合は、開発者が提供する情報をもとに最新版へアップデートしてください。
- 管理画面のパスワードを初期設定のまま使っていないか確認します。
- 管理画面にアクセスできる人や環境を必要な範囲に限ってください。
公式情報
この情報は、JVNが公開した「NEC AtermシリーズにおけるOSコマンドインジェクションの脆弱性(NV26-003)」に基づくものです。
詳細はJVNの告知ページで確認できます。
JVN#80890147: NEC AtermシリーズにおけるOSコマンドインジェクションの脆弱性(NV26-003)
Japan Vulnerability Notes
jvn.jp
