|
[English]
|
JVNDB-2025-000087
|
Ruijie Networks製RG-EST300におけるSSH機能が有効になっている問題
|
|
Ruijie Networksが提供するRG-EST300には、SSHサーバー機能が実装されていますがマニュアルには記載されておらず、さらに初期設定で有効になっています。
- 非公開機能を悪用される問題(CWE-912)- CVE-2025-58778
この脆弱性情報は、下記の方が、製品開発者に直接報告し製品開発者との調整を経て、情報セキュリティ早期警戒パートナーシップに基づきIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:横浜国立大学 九鬼琉 氏、宮本岩麒 氏、佐々木貴之 氏、吉岡克成 氏
|
|
|
CVSS v3 による深刻度
基本値: 7.2 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
CVSS v4 による深刻度
基本値: 8.6 (重要) [IPA値]
- 攻撃元区分 (AV): ネットワーク
- 攻撃の複雑さ (AC): 低
- 攻撃要件 (AT): なし
- 攻撃に必要な特権レベル (PR): 高
- 利用者の関与 (UI): なし
脆弱なシステムへの影響
- 機密性の影響 (VC): 高
- 完全性の影響 (VI): 高
- 可用性への影響 (VA): 高
後続システムへの影響
- 機密性への影響 (SC): なし
- 完全性への影響 (SI): なし
- 可用性への影響 (SA): なし
|
|
|
Ruijie Networks
- RG-EST300 AP_3.0(1)B2P18_EST300_06210514
- RG-EST300 AP_3.0(1)B2P10_EST300_06151523
- RG-EST300 AP_3.0(1)B2P10_EST300_05232216
- RG-EST300 AP_3.0(1)B2P10_EST300_05220814
|
|
|
認証情報を知っていれば、当該機器にログイン可能です。その結果、システム内の情報漏洩、システムの改ざん、サービス運用妨害(DoS)攻撃等が行われる可能性があります。
|
|
[現行製品の利用を停止し、後継製品に乗り換える]
開発者によると、当該製品はすでにサポートが終了しているとのことです。後継製品への乗り換え等を検討してください。
詳細は、開発者が提供する情報を確認してください。
|
|
Ruijie Networks
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2025-58778
|
|
- JVN : JVN#72648885
|
|
|
