|
[English]
|
JVNDB-2025-004863
|
Panasonic 製 IR Control Hub における不正なファームウェアのロードが可能になる脆弱性
|
|
Panasonic が提供する IR Control Hub には、不正なファームウェアのロードにつながる脆弱性が存在します。
Panasonic が 提供する IR Control Hub には、ファームウェアのロード時にハッシュ値を検証する機能が実装されていますが、ハッシュ値の不一致を検出しても停止せず、そのまま当該ファームウェアで起動してしまいます(CWE-354)。
また、当該製品内部の基板上に実装されている UART インタフェースは有効な設定になっています(CWE-1299)。
製品内部の UART インタフェースに直接接続してシリアルコンソールとして使用することで、当該製品を操作することが可能です(CVE-2025-1073)。
この脆弱性情報は、Shravan Singh 氏が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
|
|
|
|
|
パナソニック株式会社
- IR Control Hub 1.17 およびそれ以前のバージョン
|
|
|
当該製品に物理的にアクセスできる攻撃者によって、不正なファームウェアをロードされる可能性があります。
|
|
[ファームウェアをアップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
開発者が運用しているアップデートサーバと通信できる状態になっている場合には、自動的にバージョンアップされるとのことです。
|
|
パナソニック株式会社
|
|
- 代替ハードウェアインターフェースの保護メカニズムの欠如(CWE-1299) [その他]
- データの整合性検証不備(CWE-354) [その他]
|
|
- CVE-2025-1073
|
|
- JVN : JVNVU#94857368
|
|
|
