製品セキュリティ

製品セキュリティアドバイザリ

お知らせ

弊社ルーター製品におけるセキュリティ脆弱性について

公開日:2026年3月25日

平素は、弊社製品をご愛用いただき、誠にありがとうございます。

この度、弊社が製造しました一部のルーター製品に関しまして、セキュリティ上の脆弱性が存在することが分かりましたのでソフトウェアの更新をお願いいたします。

脆弱性の概要、対象製品につきましては、下記の表をご覧ください。

当該製品をご愛用いただいておりますお客様にご迷惑をおかけしますことをお詫び申し上げます。

該当する製品名およびバージョン
株式会社NTTドコモ様向け
  • home 5G HR01(バージョン38JP_0_490およびそれ以前)
  • home 5G HR02(バージョンS5.A1.00およびそれ以前)
  • Wi-Fi STATION SH-52A(バージョン38JP_2_03Jおよびそれ以前)
  • Wi-Fi STATION SH-52B(バージョンS3.87.15およびそれ以前)
  • Wi-Fi STATION SH-54C(バージョンS6.64.00およびそれ以前)

ソフトバンク株式会社様向け
  • 5Gモバイルルーター SH-U01(バージョンS4.48.00およびそれ以前)
  • Pocket WiFi 5G A503SH(バージョンS7.41.00およびそれ以前)

KDDI株式会社様向け
  • Speed Wi-Fi 5G X01(バージョン 3RJP_2_03Iおよびそれ以前)
脆弱性の説明

当該製品には、Web APIの⼀部を認証なしに使⽤可能です。
これらのWeb APIでは当該機器に関する情報を提供しています。また、管理者パスワードは当該機器に関する情報に基づいて初期設定されています。

CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9

CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値 5.7

CVE: CVE-2026-32326

CWE: 重要な機能に対する認証の欠如(CWE-306)
発生し得る影響

当該機器に関する情報を認証なしに取得される可能性があります。
管理者パスワードを初期設定のまま使⽤している場合、当該機器が不正アクセスを受ける可能性があります。
対策方法

本不具合(脆弱性)を修正したソフトウェアを提供しておりますので、各製品のウェブサイトをご参照の上、ソフトウェア更新を実施いただきますよう、お願い申し上げます。ソフトウェアの自動更新設定をされているルーターでは、既に更新が完了している場合があります。

なお、以下の製品については、修理受付・ソフトウェア更新も終了しておりますので、下記の【回避策】を実行いただきますようお願いいたします。

修理受付終了製品
  • Wi-Fi STATION SH-52A
  • Speed Wi-Fi 5G X01
回避策

パソコンやスマートフォン等の携帯端末からWebブラウザを利用してルーターの「設定ツール」にログインし、初期パスワードを変更する。

接続方法は取扱説明書をご確認ください。
関連情報

詳細な対策手順は下記の製品サポートページをご確認ください。

株式会社NTTドコモ様向け

ソフトバンク株式会社様向け

CVE IDは上記の【脆弱性の説明】をご覧ください。


JVNVU#49524110:シャープ製ルーター製品における⼀部のweb APIに対する認証⽋如の脆弱性
https://jvn.jp/jp/JVN49524110/

謝辞

本脆弱性は、JPCERT/CC様経由で財前匠汰様のご報告により発見されました。
ご報告に対し、謹んで感謝申し上げます。
更新履歴
  • 2026年3月25日:この脆弱性情報ページを公開しました。