セキュリティ情報
AX-VU2025-02
「AX620RにおけるXSSの脆弱性」に関するご報告
AX第1版 2025-10-14
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、AX620RにおけるXSSの脆弱性について報告致します。
出典
Japan Vulnerability Notes JVN#95938761
https://jvn.jp/jp/JVN95938761/
CVE-2025-8153:クロスサイトスクリプティング
概要
AX620RのHTTP(S)サーバ機能において、クロスサイトスクリプティングの脆弱性が存在します。
影響
弊社製品では、AX620Rでのみ本脆弱性の影響を受けます。
その他の製品では影響を受けません。
<AX620R>
- 細工した装置へのURLをクリックさせることで、ユーザのブラウザ上から任意のスクリプトを実行させられる可能性があります。
- Webコンソールにログインしたユーザに細工したURLをクリックさせることにより、対象装置のコマンドラインにおける任意のコマンドを実行できる可能性があります。
・影響を受ける条件
-
以下の機能を利用している場合
HTTP(S)サーバ機能
Webコンソール機能
PAC配信
Web認証
NetMeister子機接続具体的には、以下のいずれか、または、両方のコマンドが設定されている場合
http-server ip enable
http-server ipv6 enable
・機種、ソフトウェアバージョン別影響
| 機種名 | バージョン | 影響 |
|---|---|---|
|
AX620R-2025 AX620R-2105 AX620R-2106 AX620R-2107 AX620R-2215 AX620R-2235 AX620R-3110 AX620R-3315 |
Ver.9.5.11~Ver.10.11.6の全バージョン | 影響を受けます。 |
回避方法
<AX620R>
次の回避策をお願いいたします。
以下の設定を投入し、HTTP(S)サーバ機能を停止してご利用ください。
no http-server ip enable
no http-server ipv6 enable
上記の回避策を適用できない場合、以下のいずれかの方法で本脆弱性を軽減させてください。
- フィルタ機能により、接続元をIPアドレス、MACアドレスで制限する。
- 対象装置のIPアドレスを変更し、かつTCPポート:80または443のポート番号を予想されにくい番号に変更する。
対策
本脆弱性の対策版ソフトウェアの適用をお願いします。
| No | 装置シリーズ名 | 対象ソフトウェア製品 | 対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | AX620R | 機種、バージョン、機能は【影響】を参照 | Ver 10.11.9以降 Ver 10.10.34以降 Ver 10.9.26以降 |
リリース済み *1 |
- AX620R-2025、AX620R-2105、AX620R-3110においては、対策版ソフトウェアのリリース予定はございません。回避方法による対応を推奨いたします。
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。