独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月23日、ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。株式会社ゼロゼロワンの早川宙也氏によりJPCERT/CCに報告された。
ヤマハ株式会社が提供する無線LANアクセスポイント製品には、利用可能なデバッグ機能が残されたままになっており、特定の操作によりデバッグ機能を有効化できる脆弱性(CVE-2024-22366)が存在する。CVSS v3による基本値は6.8。影響を受けるシステムは次の通り。
・WLX222 ファームウェア Rev.24.00.03 およびそれ以前
・WLX413 ファームウェア Rev.22.00.05 およびそれ以前
・WLX212 ファームウェア Rev.21.00.12 およびそれ以前
・WLX313 ファームウェア Rev.18.00.12 およびそれ以前
・WLX202 ファームウェア Rev.16.00.18 およびそれ以前
デバッグ機能の使用方法を知っているユーザが管理画面にログインした場合、特定の操作によってデバッグ機能を有効にされ、任意のOSコマンド実行や設定変更などを実施される可能性がある。
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。
