|
[English]
|
JVNDB-2025-001898
|
センチュリー・システムズ製産業用ルータ (FutureNet AS シリーズ) およびプロトコル変換器 (FutureNet FA シリーズ) における複数の脆弱性
|
|
センチュリー・システムズ株式会社が提供する産業用ルータ (FutureNet AS シリーズ) およびプロトコル変換器 (FutureNet FA シリーズ) には、次の複数の脆弱性が存在します。
* 認証回避 (CWE-288) - CVE-2025-24846
* バッファオーバーフロー (CWE-120) - CVE-2025-25280
これらの脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 早川 宙也 氏、神野 亮 氏
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2025-24846 の評価になります。
|
CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 低
※上記は、CVE-2025-25280 の評価になります。
|
|
|
センチュリー・システムズ
- FutureNet AS-210/U4 ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-210/U4 ファームウェア Version 2.6.6 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-250/F-KO ファームウェア Version 1.14.0 およびそれ以前 (CVE-2025-24846、CVE-2025-25280)
- FutureNet AS-250/F-SC ファームウェア Version 1.14.0 およびそれ以前 (CVE-2025-24846、CVE-2025-25280)
- FutureNet AS-250/KL Rev2 ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-250/KL Rev2 ファームウェア Version 2.6.6 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-250/KL ファームウェア Version 1.14.0 およびそれ以前 (CVE-2025-24846、CVE-2025-25280)
- FutureNet AS-250/L ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-250/L ファームウェア Version 2.6.6 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-250/NL ファームウェア Version 1.14.0 およびそれ以前 (CVE-2025-24846、CVE-2025-25280)
- FutureNet AS-250/S ファームウェア Version 1.14.0 およびそれ以前 (CVE-2025-24846、CVE-2025-25280)
- FutureNet AS-M250/KL ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-M250/KL ファームウェア Version 3.0.0 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-M250/L ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-M250/L ファームウェア Version 3.0.0 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-M250/NL ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-M250/NL ファームウェア Version 3.0.0 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-P250/KL ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-P250/KL ファームウェア Version 2.6.6 およびそれ以前 (CVE-2025-25280)
- FutureNet AS-P250/NL ファームウェア Version 2.6.4 およびそれ以前 (CVE-2025-24846)
- FutureNet AS-P250/NL ファームウェア Version 2.6.6 およびそれ以前 (CVE-2025-25280)
- FutureNet FA-210 ファームウェア Version 1.1.9 およびそれ以前 (CVE-2025-25280)
- FutureNet FA-215 ファームウェア Version 1.0.1 およびそれ以前 (CVE-2025-25280)
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 細工されたリクエストにより、認証なしで MAC アドレス等の機器情報を窃取される (CVE-2025-24846)
* 細工されたリクエストにより、当該機器を再起動される (CVE-2025-25280)
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
[ワークアラウンドを実施する]
開発者は、本脆弱性の影響を回避する方法を提供しています。
[現行製品の利用を停止し、後続製品に移行する]
本件の影響を受ける製品群の一部は、すでにサポートが終了しています。
(参考:販売終息製品 | 製品情報)
開発者は、これらサポートを終了した製品の使用停止と後続製品への移行を推奨しています。
詳細は、開発者が提供する情報をご確認ください。
|
|
センチュリー・システムズ
|
|
- 古典的バッファオーバーフロー(CWE-120) [その他]
- 代替パスまたはチャネルを使用した認証回避(CWE-288) [その他]
|
|
- CVE-2025-24846
- CVE-2025-25280
|
|
- JVN : JVNVU#96398949
|
|
|
