JVNDB-2025-021533

JVNDB-2025-021533
Universal Boot Loader (U-Boot) におけるブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切な脆弱性
概要
U-Boot が提供する Universal Boot Loader (U-Boot) には、次の脆弱性が存在します。ブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切 (CWE-1274) - CVE-2025-24857
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

DENX Software Engineering U-Boot 2017.11 より前のバージョン U-Boot 2017.11 より前のバージョンを使用している Johnson Controls 製 Airwall AW-75
以下の特定のチップが影響を受けていることが確認されています。 Qualcomm IPQ4019 Qualcomm IPQ5018 Qualcomm IPQ5322 Qualcomm IPQ6018 Qualcomm IPQ8064 Qualcomm IPQ8074 Qualcomm IPQ9574
想定される影響
第三者によって任意のコードを実行される可能性があります。
対策
[アップデートする] U-boot のサードパーティメンテナである Konsulko は、アップデートを推奨しています。また、Qualcomm は影響を受けるチップを利用しているユーザーに対し、サポートへの連絡を推奨しています。 [Hotfixを適用する] Johnson Controls は、Airwall AW-75 への Hotfix を提供しています。詳細は、ICS Adovisory および開発者が提供する情報を確認してください。
ベンダ情報
Konsulko Group Konsulko : Index of /pub/u-boot/ クアルコム Qualcomm : Contact Information & Contact Form Options for Qualcomm ジョンソンコントロールズ Johnson Controls : Connect to Airwall・OpenBlue Airwall・OpenBlue Knowledge Exchange
CWEによる脆弱性タイプ一覧 CWEとは?
ブートコードを含む揮発性メモリの不適切なアクセス制御(CWE-1274) [その他]
共通脆弱性識別子(CVE) CVEとは?
CVE-2025-24857
参考情報
JVN : JVNVU#95829976 ICS-CERT ADVISORY : ICSA-25-343-01
更新履歴
[2025年12月11日] 掲載 [2026年03月16日] 影響を受けるシステム：内容を更新対策：内容を更新ベンダ情報：ジョンソンコントロールズ (Johnson Controls) を追加


公表日	2025/12/10
登録日	2025/12/11
最終更新日	2026/03/16

Universal Boot Loader (U-Boot) におけるブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切な脆弱性