セキュリティ

SECURITY

公開：2025-04-12

【CVE-2025-2991】Tenda FH1202のWeb管理インターフェースに脆弱性、不適切なアクセス制御による攻撃のリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Tenda FH1202の不適切なアクセス制御の脆弱性を発見
• Web管理インターフェースのAdvSetWrlmacfilterに問題
• 重大度は中程度でリモートからの攻撃が可能

Tenda FH1202 1.2.0.14のWeb管理インターフェースに脆弱性

VulDBは2025年3月31日、Tenda FH1202 1.2.0.14のWeb管理インターフェースに重大な脆弱性が存在することを公開した。この脆弱性は/goform/AdvSetWrlmacfilterコンポーネントにおける不適切なアクセス制御に関するもので、リモートからの攻撃が可能となっている。^[1]

この脆弱性はCVSS 4.0で6.9点、CVSS 3.1で5.3点と評価されており、中程度の深刻度に分類されている。脆弱性の種類としてはCWE-284の不適切なアクセス制御とCWE-266の誤った権限割り当てに分類され、攻撃者は特別な権限や認証なしで攻撃を実行できる可能性がある。

この脆弱性に関する情報は既に公開されており、攻撃に利用される可能性がある状態となっている。影響を受けるバージョンはTenda FH1202 1.2.0.14(408)で、脆弱性の発見者はVulDBユーザーのyhryhryhr_miemieとされている。

Tenda FH1202の脆弱性詳細

不適切なアクセス制御について

不適切なアクセス制御とは、システムやアプリケーションにおいて、ユーザーの権限や認証が適切に実装されていない状態を指す問題のことである。主な特徴として、以下のような点が挙げられる。

• 認証されていないユーザーが制限された機能にアクセス可能
• 権限のないユーザーが管理者機能を利用可能
• セッション管理や認可の不備により情報漏洩のリスクが発生

Tenda FH1202の脆弱性では、Web管理インターフェースの/goform/AdvSetWrlmacfilterにおいて不適切なアクセス制御が確認されている。この脆弱性により、攻撃者は認証を回避してシステムの重要な機能にアクセスできる可能性があり、デバイスのセキュリティが危険にさらされる状況となっている。

Tenda FH1202の脆弱性に関する考察

Tenda FH1202のWeb管理インターフェースにおける不適切なアクセス制御の脆弱性は、IoTデバイスのセキュリティ設計における重要な課題を浮き彫りにしている。特に認証機能の実装が不十分である点は、多くのIoTデバイスに共通する問題であり、製品設計段階からのセキュリティ対策の重要性を示している。

今後はIoTデバイスメーカーによる定期的なセキュリティ監査やペネトレーションテストの実施が不可欠となるだろう。また、発見された脆弱性に対する迅速なパッチ提供体制の整備や、セキュアバイデザインの考え方に基づいた製品開発プロセスの確立が求められる。

ユーザー側でも定期的なファームウェアアップデートの適用や、デフォルトパスワードの変更など、基本的なセキュリティ対策の徹底が重要となる。IoTデバイスの普及が進む中、製造者とユーザーの双方がセキュリティ意識を高め、継続的な対策を講じていく必要があるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-2991, (参照 25-04-12).
1923

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧