【活用ガイド】

JVNDB-2026-006893

複数のLantronix製品における複数の脆弱性

概要

Lantronix Inc.が提供する複数の製品には、次の複数の脆弱性が存在します。
  • OSコマンドインジェクション(CWE-78) - CVE-2025-67034、CVE-2025-67035、CVE-2025-67036、CVE-2025-67037、CVE-2025-67038、CVE-2025-67041
  • 代替パスまたは代替チャネルを使用した認証回避(CWE-288) - CVE-2025-67039
  • 旧パスワードの確認などをせず新パスワードの設定が可能(CWE-620) - CVE-2025-70082
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Lantronix, Inc.
  • EDS3000PS バージョン 3.1.0.0R2 (CVE-2025-67039、CVE-2025-70082、CVE-2025-67041)
  • EDS5000 バージョン 2.1.0.0R3 (CVE-2025-67034、CVE-2025-67035、CVE-2025-67036、CVE-2025-67037、CVE-2025-67038)

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。
  • name パラメータにOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67034)
  • server keys や、 users 、 known hosts など様々な対象の削除時に任意のコマンドを挿入され、管理者権限で実行される(CVE-2025-67035)
  • 任意のOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67036)
  • tunnel パラメータにOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67037)
  • username パラメータにOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67038)
  • 管理ページの認証を回避される(CVE-2025-67039)
  • 管理者パスワードを変更される(CVE-2025-70082)
  • 元のコマンドをエスケープ処理され、任意のコマンドを管理者権限で実行される(CVE-2025-67041)
対策

[アップデートする]
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。
ベンダ情報

Lantronix, Inc.
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 代替パスまたはチャネルを使用した認証回避(CWE-288) [その他]
  2. 未検証のパスワード変更(CWE-620) [その他]
  3. OSコマンドインジェクション(CWE-78) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-67034
  2. CVE-2025-67035
  3. CVE-2025-67036
  4. CVE-2025-67037
  5. CVE-2025-67038
  6. CVE-2025-67039
  7. CVE-2025-67041
  8. CVE-2025-70082
参考情報

  1. JVN : JVNVU#97972410
  2. ICS-CERT ADVISORY : ICSA-26-069-02
更新履歴

  • [2026年03月12日]
      掲載

公表日2026/03/11
登録日2026/03/12
最終更新日2026/03/12