NECは、同社のWi-Fiルーター「Aterm」シリーズの旧製品で、脆弱性があるとして最新のソフトウェアを公開した。

 あわせて、情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)も同社製品に関する脆弱性を公表した。第三者により発見された今回の脆弱性はいずれも発見者がJPCERT/CCに報告した上で、メーカーのNECと調整が行われた。

AtermWG1200HP3

 発見された脆弱性は、権限チェックの欠如(CVE-2026-4309)、パストラバーサル(CVE-2026-4619)、OSコマンドインジェクション(CVE-2026-4620、CVE-2026-4622)、セキュリティ上問題のある隠し機能(CVE-2026-4621)の4種類。

 想定される影響として、装置固有の情報を取得され設定を変更されるほか、任意のOSコマンドを実行されるなどの影響を受ける可能性がある。

 NECによると、今回発表された脆弱性はいずれも、LAN側からの不正アクセス時の脆弱性で、宅外からインターネット回線経由でWAN側から攻撃されることはない。ただし、既にサポートが終了している機種にも脆弱性が含まれるため、対象機種については買い替えを検討するように案内されている。

 脆弱性の影響を受ける製品とソフトウェアバージョンは以下の通り。

CVE-2026-4309 W1200EX(-MS) すべてのバージョン WG1200HP2 すべてのバージョン WG1900HP すべてのバージョン WG1200HS2 すべてのバージョン WG1800HP3 すべてのバージョン WG1200HP3 すべてのバージョン WG1900HP2 すべてのバージョン WG1200HS3 すべてのバージョン WG1800HP4 すべてのバージョン WG1200HP4 すべてのバージョン WG1200HS4 すべてのバージョン WX1500HP Ver.1.4.2より前のバージョン WG2600HS Ver.1.7.2より前のバージョン WF1200CR Ver.1.6.0より前のバージョン WG1200CR Ver.1.5.0より前のバージョン WG2600HP4 Ver.1.4.2より前のバージョン WG2600HM4 Ver.1.4.2より前のバージョン WG2600HS2 Ver.1.3.2より前のバージョン WX3000HP Ver.2.5.0より前のバージョン WX3600HP Ver.1.5.3より前のバージョン CVE-2026-4619 WX3600HP Ver.1.5.3より前のバージョン CVE-2026-4620 WX1500HP Ver.1.4.2より前のバージョン WX3600HP Ver.1.5.3より前のバージョン CVE-2026-4621 W1200EX(-MS) すべてのバージョン WG1200HP2 すべてのバージョン WG1900HP すべてのバージョン WG1200HS2 すべてのバージョン WG1800HP3 すべてのバージョン WG1200HP3 すべてのバージョン WG1900HP2 すべてのバージョン WG1200HS3 すべてのバージョン WG1800HP4 すべてのバージョン WG1200HP4 すべてのバージョン WG1200HS4 すべてのバージョン WX1500HP Ver.1.4.2より前のバージョン WG2600HS Ver.1.7.2より前のバージョン WF1200CR Ver.1.6.0より前のバージョン WG1200CR Ver.1.5.0より前のバージョン WG2600HP4 Ver.1.4.2より前のバージョン WG2600HM4 Ver.1.4.2より前のバージョン WG2600HS2 Ver.1.3.2より前のバージョン WX3000HP Ver.2.5.0より前のバージョン WX3000HP2 Ver.1.3.2より前のバージョン WX3600HP Ver.1.5.3より前のバージョン CVE-2026-4622 WG2600HS Ver.1.7.2より前のバージョン WF1200CR Ver.1.6.0より前のバージョン WG1200CR Ver.1.5.0より前のバージョン WG2600HP4 Ver.1.4.2より前のバージョン WG2600HM4 Ver.1.4.2より前のバージョン WG2600HS2 Ver.1.3.2より前のバージョン WX3000HP Ver.2.5.0より前のバージョン WX3000HP2 Ver.1.3.2より前のバージョン