FXC 製無線 LAN ルータに OS コマンドインジェクションの脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は12月6日、FXC株式会社が提供する無線LANルータにOSコマンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

　情報コンセント対応型無線LANルータである「AE1021PE」および「AE1021」には、OSコマンドインジェクション（CVE-2023-49897）の脆弱性が存在する。CVSS v3による基本値は8.0。影響を受けるシステム（ファームウェアバージョン）は次の通り。

・AE1021PE ファームウェアバージョン 2.0.9 およびそれ以前
・AE1021 ファームウェアバージョン 2.0.9 およびそれ以前

　この脆弱性が悪用されると、当該製品にログイン可能な攻撃者によって、任意のOSコマンドを実行される可能性がある。なお、JPCERT/CCでは本脆弱性を悪用した通信を確認している。

　開発者から本脆弱性の対策を行ったファームウェア2.0.10がリリースされている。このアップデートを実施した上で、「工場出荷時設定」をリセットし、管理画面ログイン用のパスワードを初期設定から変更するよう呼びかけている。

　この脆弱性情報は、横浜国立大学の九鬼琉氏、佐々木貴之氏、吉岡克成氏がJPCERT/CCに報告した。また、ほぼ同時期にThe Akamai SIRTがCISAに報告している。