ヤマハ株式会社が発売したVoIPルーター「RT57i」「RT58i」「NVR500」、VPNルーター「RTX810」、ファイアウォール「FWX120」に脆弱性があるとして、独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が運営する、Japan Vulnerability Note（JVN）が情報を公開しました。

　ネットワーク機器の管理画面にスクリプトインジェクションの脆弱性がCVE番号ベースで2件存在しており、いずれも管理者権限でアクセス可能なユーザーによってウェブブラウザー上で任意のスクリプトを実行される可能性があります。

　CVE番号は「CVE-2018-0665」「CVE-2018-0666」は2件。
いずれも共通脆弱性評価システムCVSS v3のスコアは4.3。
なお、同社製無線LANアクセスポイント「WLXシリーズ」や、L2/L3スイッチ「SWXシリーズ」はこの脆弱性の影響を受けないとしている。
▼詳細はこちら
https://jvn.jp/jp/JVN69967692/index.html

　影響を受けるファームウェアのバージョンは、RT57iがRev.8.00.95以前、RT58iがRev.9.01.51以前、NVR500がRev.11.00.36以前、RTX810がRev.11.01.31以前、FWX120がRev.11.03.25以前。

　対策として、各製品のサポートページからダウンロードできる脆弱性修正済みファームウェアの適用が推奨されている。
同ファームウェアのバージョンは、RT57iがRev.8.00.98、RT58iがRev.9.01.53、NVR500がRev.11.00.38、RTX810がRev.11.01.33、FWX120がRev.11.03.27。

　もし、脆弱性修正済みファームウェアの使用が困難な場合、以下のどちらかの設定で、ルーターおよびファイアウォールの「かんたん設定ページ」へのアクセスを無効にすることにより、脆弱性の影響を回避できるようです。

●httpd service offを設定し、HTTPサーバー機能を無効にする
●httpd host noneを設定し、全てのホストからのGUI設定画面へのアクセスを禁止する

これらの作業がご自身で行えない場合には、弊社にてご対応させていただきます。