製品・ソフトウェアに関する情報

JVN脆弱性詳細

シーメンスのRUGGEDCOM ROX MX5000 ファームウェア等の複数製品におけるOS コマンドインジェクションの脆弱性

Title	シーメンスのRUGGEDCOM ROX MX5000 ファームウェア等の複数製品におけるOS コマンドインジェクションの脆弱性
Summary	RUGGEDCOM ROX MX5000（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX MX5000RE（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1400（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1500（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1501（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1510（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1511（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1512（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1524（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX1536（バージョンV2.17.1未満の全バージョン）、RUGGEDCOM ROX RX5000（バージョンV2.17.1未満の全バージョン）に脆弱性が確認されました。影響を受けるデバイスは、Web UIのスケジューラー機能においてユーザーから提供された入力を適切にサニタイズ（無害化）しておらず、タスクスケジューリングのバックエンドにコマンドを注入できます。これにより、認証済みのリモート攻撃者が基盤となるオペレーティングシステム上で任意のコマンドをroot権限で実行できる可能性があります。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 12, 2026, midnight
Registration Date	June 30, 2026, 11:23 a.m.
Last Update	June 30, 2026, 11:23 a.m.

CVSS3.0 : 緊急
Score	9.1
Vector	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Affected System

シーメンス

RUGGEDCOM ROX MX5000 ファームウェア 2.17.1 未満

ruggedcom rox mx5000re ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1400 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1500 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1501 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1510 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1511 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1512 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX1524 ファームウェア 2.17.1 およびそれ以前

RUGGEDCOM ROX RX1536 ファームウェア 2.17.1 未満

RUGGEDCOM ROX RX5000 ファームウェア 2.17.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-40949	https://www.cve.org/CVERecord?id=CVE-2025-40949
National Vulnerability Database (NVD)
2	CVE-2025-40949	https://nvd.nist.gov/vuln/detail/CVE-2025-40949

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
Siemens Security Advisory
1	SSA-081142	https://cert-portal.siemens.com/productcert/html/ssa-081142.html

Change Log

No	Changed Details	Date of change
1	[2026年06月30日] 掲載	June 30, 2026, 11:23 a.m.

NVD Vulnerability Information

CVE-2025-40949

Summary	A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.17.1), RUGGEDCOM ROX MX5000RE (All versions < V2.17.1), RUGGEDCOM ROX RX1400 (All versions < V2.17.1), RUGGEDCOM ROX RX1500 (All versions < V2.17.1), RUGGEDCOM ROX RX1501 (All versions < V2.17.1), RUGGEDCOM ROX RX1510 (All versions < V2.17.1), RUGGEDCOM ROX RX1511 (All versions < V2.17.1), RUGGEDCOM ROX RX1512 (All versions < V2.17.1), RUGGEDCOM ROX RX1524 (All versions < V2.17.1), RUGGEDCOM ROX RX1536 (All versions < V2.17.1), RUGGEDCOM ROX RX5000 (All versions < V2.17.1). Affected devices do not properly sanitize user-supplied input in the Scheduler functionality of the Web UI, allowing commands to be injected into the task scheduling backend. This could allow an authenticated remote attacker to execute arbitrary commands with root privileges on the underlying operating system.
Publication Date	May 12, 2026, 7:16 p.m.
Registration Date	May 13, 2026, 4:11 a.m.
Last Update	May 12, 2026, 11:19 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://cert-portal.siemens.com/productcert/html/ssa-081142.html	productcert@siemens.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html