サイト内の現在位置
脆弱性について:UNIVERGE Aspireシリーズ用内蔵ルータユニット「IP8D-RTU-A1」および「IP5D-RTU-B1」(2025/10/27)
2025年10月27日
NEC プラットフォームズ株式会社
1. 概要
UNIVERGE Aspire 6 / Aspire WX / WX plusおよびAspire UXで使用している内蔵ルータユニットのHTTP(S)サーバ機能においてクロスサイトスクリプティングの脆弱性が存在することが判明いたしました。
つきましては、下記に記載する情報をご確認いただき、対策を講じていただきますようご協力の程よろしくお願いいたします。
2. 対象製品
| 品名 | 対象バージョン |
|---|---|
| IP8D-RTU-A1 |
|
| IP5D-RTU-B1 |
|
3. 脆弱性の説明
3.1 脆弱性の内容
内蔵ルータユニットはUNIVERGE IXルータの技術を使用しており、IXルータにて下記URLで通知されている、脆弱性の内容と同一です。
https://jpn.nec.com/univerge/ix/Support/Security-Info/NV25-005.html4. 対策方法
4.1 回避策
内蔵ルータユニットに対し、以下のいずれかの方法で回避してください。
-
脆弱性対処版ソフトウェアへバージョンアップする。※IP8D-RTU-A1のみ可能
- 以下の設定を投入し、 HTTP(S)サーバ機能を停止してご利用ください。
- no http-server ip enable
- no http-server ipv6 enable
上記の回避策を適用できない場合、内蔵ルータユニットで以下のいずれかの方法で本脆弱性を軽減させてください。
- フィルタ機能により、接続元をIPアドレス、MACアドレスで制限する。
- 対象装置のIPアドレスを変更し、かつTCPポート:80または443のポート番号を予想されにくい番号に変更する。
4.2 対処版ソフトウェア
- IP8D-RTU-A1
Ver.10.9.26
運用の確認および本ソフトウェアについては、販売店へお問い合わせください。
5. 更新履歴
2025年10月27日 この脆弱性情報を公開しました。
6. 連絡先
お客様のシステムが本件に該当するか否かのご確認、および該当する場合のご対応につきましては、販売店へお問い合わせください。
その他、対象製品に関する情報につきましては、弊社ホームページの「お問い合わせ」からお問い合わせください。