情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は、NEC製Wi-Fiルーター「Aterm」シリーズの一部機種に関する脆弱性の情報を公開した。

「JVN#67456944」で報告されている脆弱性は、対象製品にアクセスしたユーザーのWebブラウザ上で、任意のスクリプトが実効可能となる「CVE-2021-20680」と、UPnPが有効な場合にに、対象製品にアクセス可能な第三者から任意のOSコマンドが実行される「CVE-2014-8361」が含まれる。

 対象製品のファームウェアをアップデートすることで脆弱性への対応が行えるが、一部の対象製品についてはアップデートの提供予定が無い。

「JVN#29739718」で報告される脆弱性には、管理ページにログインしている状態で特定のURLに対して細工されたリクエストを送信することで、任意のコマンドが実行される「CVE-2021-20708」、同じく管理ページにログイン状態で細工された設定ファイルを読み込ませることで任意のコマンドが実効される「CVE-2021-20709」のほか、対象製品にアクセスしたユーザーのWebブラウザ上で任意のスクリプトが実行される「CVE-2021-20710」、管理ページにアクセスした攻撃者によって任意のコマンドが実行される「CVE-2021-20711」、IPv6ファイアウォールの不具合で、LAN側に接続した機器がWAN側などからアクセスできる「CVE-2021-20712」が含まれる。

 影響を受ける製品は、「Aterm WF1200CR」がファームウェア Ver.1.3.2およびそれ以前、「Aterm WG1200CR」がVer.1.3.3以前、「Aterm WG2600HS」がVer.1.5.1およびそれ以前、「Aterm WX3000HP」がVer.1.1.2およびそれ以前。ファームウェアを最新版へアップデートすると解決する。
https://k-tai.watch.impress.co.jp/docs/news/1317677.html