独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月23日、ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性があると「Japan Vulnerability Notes(JVN)」で発表しました。この脆弱性情報は、株式会社ゼロゼロワンの早川宙也氏によりJPCERT/CCに報告され、JPCERT/CC が開発者との調整を行ってます。ヤマハ株式会社が提供する無線LANアクセスポイント製品には、利用可能なデバッグ機能が残されたままになっており、特定の操作によりデバッグ機能を有効化することが可能とされています。(CVE-2024-22366)CVSS v3による基本値は6.8。影響を受けるシステムは以下の通りです。
・WLX222 ファームウェア Rev.24.00.03 およびそれ以前
・WLX413 ファームウェア Rev.22.00.05 およびそれ以前
・WLX212 ファームウェア Rev.21.00.12 およびそれ以前
・WLX313 ファームウェア Rev.18.00.12 およびそれ以前
・WLX202 ファームウェア Rev.16.00.18 およびそれ以前
デバッグ機能の使用方法を知っているユーザが管理画面にログインした場合、特定の操作によってデバッグ機能を有効にされ、任意のOSコマンド実行や設定変更などを実施される可能性があります。JVNでは、対策方法として、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけています。