独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月24日、RoamWiFi R10における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社が報告を行っている。影響を受けるシステムは以下の通り。
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
RoamWiFi R10 4.8.45より前のバージョン
RoamWiFi Technology Co., Ltd.が提供するRoamWiFi R10には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・デバッグ機能が利用可能(CVE-2024-31406)
→当該製品にアクセス可能な第三者によって不正な操作を実行される
・ログファイルからの情報漏えい(CVE-2024-32051)
→当該製品にアクセス可能な第三者によって機微な情報を窃取される
当該製品は電源を入れると、Over-The-Air(OTA)機能で自動アップデートされるため、ユーザによる操作は不要。
