【活用ガイド】

[English]

JVNDB-2025-002714

センチュリー・システムズ製 FutureNet NXR シリーズ、VXR シリーズおよび WXR シリーズルータにおけるシンボリックリンクファイルの不適切な取り扱い

概要

センチュリー・システムズ株式会社が提供する FutureNet NXR シリーズ、VXR シリーズおよび WXR シリーズルータには、シンボリックリンクファイルの取り扱いに不備があります(CWE-61)。

この脆弱性情報は、製品利用者への周知を目的に開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.2 (警告) [その他]
  • 攻撃元区分: 物理
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 高
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


センチュリー・システムズ
  • FutureNet NXR シリーズ
  • FutureNet VXR シリーズ
  • FutureNet WXR シリーズ

影響を受ける製品、モデル、バージョンなどの詳細については、製品開発者が提供する情報をご確認ください。
想定される影響

細工されたシンボリックリンクファイルを置いた USB フラッシュメモリや SD カードを当該機器に接続した状態で、当該機器の CLI や GUI から操作することで、内部ファイルを窃取されたり破壊されたりする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

[現行製品の利用を停止し、後続製品に移行する]
開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しているとのことです。
(参考:販売終息製品 | 製品情報
これらサポートを終了した製品については、製品の使用停止もしくは後続製品への移行が推奨されています。

詳細は、開発者が提供する情報をご確認ください。
ベンダ情報

センチュリー・システムズ
CWEによる脆弱性タイプ一覧  CWEとは?

  1. UNIX Symbolic Link のフォロー(CWE-61) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-30485
参考情報

  1. JVN : JVNVU#92821536
更新履歴

  • [2025年03月31日]
      掲載
  • [2025年04月03日]
      タイトル:内容を更新
      概要:内容を更新
      影響を受けるシステム:内容を更新
      対策:内容を更新

公表日2025/03/28
登録日2025/03/31
最終更新日2025/04/03