セキュリティ

SECURITY

公開：2025-03-11

【CVE-2025-1614】FiberHome AN5506-01A ONU GPONにXSS脆弱性、リモート攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• FiberHome AN5506-01A ONU GPONにクロスサイトスクリプティングの脆弱性
• Port Forwarding Submenuのpf_Description引数で発生
• リモートからの攻撃が可能で公開済み

FiberHome AN5506-01A ONU GPONのXSS脆弱性

FiberHomeのAN5506-01A ONU GPON RP2511において、Port Forwarding Submenuのportforwardingcfgファイルに深刻な脆弱性が2025年2月24日に発見された。この脆弱性はpf_Description引数の操作によってクロスサイトスクリプティング攻撃が可能となるもので、リモートからの攻撃実行が可能な状態となっている。^[1]

この脆弱性に関して、ベンダーであるFiberHomeへの早期の通知が行われたが、現時点で何らの対応も示されていない状況が続いている。CVSSスコアでは最新のバージョン4.0で中程度の4.8を記録しており、特権ユーザーによる攻撃が可能で、情報の整合性に影響を与える可能性が指摘されている。

VulDBのユーザーであるHavookによって報告されたこの脆弱性は、CWEの分類においてクロスサイトスクリプティング（CWE-79）とコードインジェクション（CWE-94）の2つのカテゴリに分類されている。脆弱性の詳細は既に公開されており、攻撃コードが利用可能な状態となっている。

FiberHome AN5506-01A ONU GPONの脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入できる状態を指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにWebページに出力される
• 攻撃者が任意のJavaScriptコードを実行可能
• ユーザーのセッション情報や個人情報が漏洩するリスクがある

FiberHome AN5506-01A ONU GPONの場合、Port Forwarding Submenuのpf_Description引数を介してXSS攻撃が可能となっており、リモートからの攻撃実行が可能な状態となっている。CVSSスコアが示すように特権ユーザーによる攻撃が可能で、情報の整合性に影響を与える可能性が指摘されている。

FiberHome AN5506-01A ONU GPONの脆弱性に関する考察

Port Forwarding Submenuにおける入力値の検証不足は、ネットワーク機器のセキュリティ設計における基本的な問題を浮き彫りにしている。特にONU GPONのような通信インフラストラクチャに関わる機器での脆弱性は、サービスプロバイダーや一般ユーザーに大きな影響を及ぼす可能性があるため、早急な対応が求められる状況だ。

FiberHomeがベンダー通知に対して反応を示していない点は、セキュリティインシデント対応の観点から深刻な問題となっている。今後同様の脆弱性が発見された場合に備え、ベンダーによる脆弱性対応プロセスの確立と、透明性のある情報開示体制の構築が不可欠となるだろう。

長期的な対策として、ファームウェアアップデートによる脆弱性の修正に加え、入力値の厳格な検証やサニタイズ処理の実装が重要となる。また、セキュリティ研究者とベンダー間のコミュニケーションチャネルの確立や、脆弱性報告に対する適切な対応体制の整備も急務だ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1614, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧