unitreeのGo1 ファームウェアにおける非公開の機能に関する脆弱性
| Title |
unitreeのGo1 ファームウェアにおける非公開の機能に関する脆弱性
|
| Summary |
Go1は別名「世界初の消費者向けインテリジェントバイオニック四足歩行ロボットコンパニオン」とも呼ばれ、製造元および正しいAPIキーを所持する者がCloudSailリモートアクセスサービスを使用して該当ロボットデバイスを完全に遠隔操作できる未公開のバックドアを含んでいます。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 28, 2025, midnight |
| Registration Date |
Jan. 14, 2026, 4:34 p.m. |
| Last Update |
Jan. 14, 2026, 4:34 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.6
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年01月14日]
掲載 |
Jan. 14, 2026, 4:34 p.m. |
NVD Vulnerability Information
CVE-2025-2894
| Summary |
The Go1 also known as "The World's First Intelligence Bionic Quadruped Robot Companion of Consumer Level," contains an undocumented backdoor that can enable the manufacturer, and anyone in possession of the correct API key, complete remote control over the affected robotic device using the CloudSail remote access service.
|
| Publication Date |
March 28, 2025, 12:15 p.m. |
| Registration Date |
March 29, 2025, 4:01 a.m. |
| Last Update |
April 4, 2025, 12:15 a.m. |
Related information, measures and tools
Common Vulnerabilities List