ドイツの家電メーカーMiele（ミーレ）の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された（Register、Seclist.org）。

問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。

脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル（/etc/shadow）を外部から取得できるといった問題があるとのこと。

さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られる可能性もないとは言えない。IoT技術の普及によって、IT関連に疎いメーカーがネットワークに接続できる機器を発売するケースは今後増えると思われるが、利用者のほうでも注意が必要だろう。

（追記＠4/10 17:00）問題の機器「Miele Professional PG 8528」は食器洗い機ではなく、「washer-disinfector」（洗浄消毒器）とのこと。3月29日付けでMiele社がこれについてのプレスリリースを出しており、「脆弱性があったことは事実だが、この機器は食器洗い機ではなく消毒器である」「問題の脆弱性によってハッカーがパスワードを取得し機器のソフトウェアにアクセスできる可能性はあるが、これによって問題の機器が『踏み台』として使われる可能性は低い」「ソフトウェアのアップデートにも取り組んでいる」としている。