本記事は セキュリティ速報シリーズ第20回 です。
目次
概要
ルータOS「OpenWrt」において、ヒープバッファオーバーフローなど複数の脆弱性が明らかとなった。CVE-2025-62526は認証不要で任意コード実行の危険がある。
詳細
CVE-2025-62526:「イベント登録処理」に不備。細工されたメッセージにより認証不要で攻撃可能なヒープバッファオーバーフロー。
リモートからコード実行される懸念。CVE-2025-62525:PTMモード利用時、ローカル環境での権限昇格が可能となる脆弱性。
対策
2025年10月22日に「OpenWrt 24.10.4」がリリースされ、これら脆弱性が修正済み。旧バージョン(23.05、22.03など)は既にサポート終了のため、アップデート推奨。
未対応の場合は脆弱性リスクが残るため注意喚起されている。
参考情報
多くのルータ製品で採用されるOpenWrtの脆弱性は、インフラ全体への影響が出やすいため、速やかな対策が不可欠。
※本記事は、当社が2025年10月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
出典・参考
Weekly セキュリティ
- Weekly Report: LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性(CVE-2025-61932)について
- Weekly Report: ISC BIND 9における複数の脆弱性について(2025年10月)
- Weekly Report: WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性(CVE-2025-9242)について
- Weekly Report: JAIPA Cloud Conference 2025開催のお知らせ
- Weekly Report: 経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
