|
[English]
|
JVNDB-2025-022062
|
チョコ停ウォッチャー mini における複数の脆弱性
|
|
因幡電機産業株式会社が提供するチョコ停ウォッチャー mini には、次の複数の脆弱性が存在します。
- クリックジャッキング (CWE-1021) - CVE-2025-59479
- 例外的状況に対する確認が不適切 (CWE-754) - CVE-2025-61976
- 例外的状況に対する確認が不適切 (CWE-754) - CVE-2025-66357
この脆弱性情報は、ジェイテクトエレクトロニクス 品質保証課が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
The above CVSS base scores have been assigned for CVE-2025-61976
|
CVSS V3 Severity:
Base Metrics:5.3 (Medium) [その他]
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None
- User Interaction: None
- Scope: Unchanged
- Confidentiality Impact: None
- Integrity Impact: None
- Availability Impact: Low
The above CVSS base scores have been assigned for CVE-2025-66357
|
CVSS V3 Severity:
Base Metrics:4.3 (Medium) [その他]
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None
- User Interaction: Required
- Scope: Unchanged
- Confidentiality Impact: None
- Integrity Impact: Low
- Availability Impact: None
The above CVSS base scores have been assigned for CVE-2025-59479
|
|
|
因幡電機産業株式会社
- チョコ停ウォッチャーmini (IB-MCT001) すべてのバージョン
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。- 当該製品ログイン済みのユーザが細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる (CVE-2025-59479)
- 動画ダウンロード機能において、攻撃者により細工されたリクエストを送信されると、システムが停止する (CVE-2025-61976)
- 動画ダウンロード機能において、特定の条件の通信状態に置かれると、リソースが異常に消費される (CVE-2025-66357)
|
|
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。- 当該製品は LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する
- 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用し、不正アクセスを防止した上で、接続を必要最小限にする
詳しくは、開発者が提供する情報を確認してください。
|
|
因幡電機産業株式会社
|
|
- レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限(CWE-1021) [その他]
- 例外的な状態における不適切なチェック(CWE-754) [その他]
|
|
- CVE-2025-59479
- CVE-2025-61976
- CVE-2025-66357
|
|
- JVN : JVNVU#92827367
|
|
|
