セキュリティ

SECURITY

公開：2025-05-24

D-Link DAP-2695の脆弱性CVE-2025-4860公開、クロスサイトスクリプティングへの対策が必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• D-Link DAP-2695の脆弱性CVE-2025-4860が公開された
• Static Pool Settings Pageのadv_dhcps.phpファイルにクロスサイトスクリプティング脆弱性
• f_mac引数の操作によるリモート攻撃が可能

D-Link DAP-2695の脆弱性情報公開

VulDBは2025年5月18日、D-Link DAP-2695における深刻なセキュリティ脆弱性CVE-2025-4860を公開した。この脆弱性は、Static Pool Settings Pageのadv_dhcps.phpファイルに存在するクロスサイトスクリプティング(XSS)脆弱性である。

攻撃者は、f_mac引数を操作することでリモートからクロスサイトスクリプティング攻撃を実行できる。これは、悪意のあるスクリプトをユーザーのブラウザに実行させ、機密情報を盗んだり、システムを乗っ取ったりする可能性があることを意味する。この脆弱性は、既に公開されており、悪用される可能性があるため、早急な対策が必要だ。

この脆弱性は、D-Link DAP-2695のバージョン120b36r137_ALL_en_20210528に影響を与える。重要なのは、この製品は既にメーカーによるサポートが終了している点だ。そのため、ファームウェアのアップデートによる修正は期待できない。

脆弱性詳細

VulDB

クロスサイトスクリプティング(XSS)について

クロスサイトスクリプティング(XSS)とは、Webアプリケーションの脆弱性を悪用して、攻撃者が悪意のあるスクリプトをユーザーのブラウザに実行させる攻撃手法である。このスクリプトは、ユーザーのセッション情報を盗んだり、Webサイトのコンテンツを改ざんしたり、フィッシング攻撃を実行したりするなど、様々な悪用が可能だ。

• ユーザーの認証情報や個人情報の窃取
• Webサイトの改ざん
• フィッシング攻撃の実行

XSS攻撃を防ぐためには、入力値の検証や出力値のエスケープ処理など、適切なセキュリティ対策を行う必要がある。特に、サポートが終了した製品を使用している場合は、早急に代替製品への移行を検討すべきだ。

CVE-2025-4860に関する考察

D-Link DAP-2695の脆弱性CVE-2025-4860は、サポート終了製品におけるセキュリティリスクを改めて浮き彫りにした。迅速な対応が困難な点において、企業は製品のライフサイクル管理を徹底し、セキュリティアップデートの提供期間を明確にする必要がある。ユーザー側も、サポート終了製品の使用はリスクが高いことを認識し、代替製品への移行を検討すべきだ。

この脆弱性の発見は、IoTデバイスのセキュリティ対策の重要性を再認識させるものだ。多くのIoTデバイスは、セキュリティアップデートが提供されないまま運用されているケースが多く、攻撃対象となりやすい。そのため、IoTデバイスの選定においては、セキュリティ対策の充実度を重要な評価項目として考慮する必要がある。セキュリティ対策の強化は、企業とユーザー双方にとって不可欠な取り組みである。

今後、同様の脆弱性が他のIoTデバイスでも発見される可能性は高い。そのため、IoTデバイスのセキュリティ対策に関する研究開発や、セキュリティに関する啓発活動の強化が求められる。また、ユーザーは、セキュリティに関する情報を常に収集し、最新の脅威に備える必要があるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-4860」. https://www.cve.org/CVERecord?id=CVE-2025-4860, (参照 25-05-24).
2635

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧