|
[English]
|
JVNDB-2025-017972
|
センチュリー・システムズ製 FutureNet MA および IP-K シリーズにおける複数の脆弱性
|
|
センチュリー・システムズ株式会社が提供する FutureNet MA および IP-K シリーズには、次の複数の脆弱性が存在します。
- OS コマンドインジェクション (CWE-78) - CVE-2025-54763
- 製品内部向けの web ページに外部から認証なしでアクセスされる問題 (CWE-552) - CVE-2025-58152
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 早川 宙也 氏
|
|
CVSS v3 による深刻度
基本値: 7.2 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2025-54763 の評価になります。
|
CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2025-58152 の評価になります。
|
|
|
センチュリー・システムズ
- FutureNet IP-K シリーズ Version 2.0.0 から 2.2.1 まで
- FutureNet MA-E300 シリーズ Version 5.0.0 から 6.2.1 まで
- FutureNet MA-P シリーズ Version 5.0.0 から 6.4.0 まで
- FutureNet MA-S シリーズ Version 5.0.0 から 6.4.0 まで
- FutureNet MA-X シリーズ Version 6.0.0 から 6.4.1 まで
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品の WebUI にログインしたユーザーによって、任意の OS コマンドを実行される (CVE-2025-54763)
- 認証なしで当該製品のファームウェアバージョンや Garbage Collection 情報を取得される (CVE-2025-58152)
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
[ワークアラウンドを実施する]
開発者は、ワークアラウンドの適用も推奨しています。
詳しくは、後述の [ベンダ情報] で開発者が提供する情報を確認してください。
|
|
センチュリー・システムズ
|
|
- 外部からアクセス可能なファイルまたはディレクトリ(CWE-552) [その他]
- OSコマンドインジェクション(CWE-78) [その他]
|
|
- CVE-2025-54763
- CVE-2025-58152
|
|
- JVN : JVNVU#98191201
|
|
|
