製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

unitreeのGo1 ファームウェアにおける非公開の機能に関する脆弱性

タイトル	unitreeのGo1 ファームウェアにおける非公開の機能に関する脆弱性
概要	Go1は別名「世界初の消費者向けインテリジェントバイオニック四足歩行ロボットコンパニオン」とも呼ばれ、製造元および正しいAPIキーを所持する者がCloudSailリモートアクセスサービスを使用して該当ロボットデバイスを完全に遠隔操作できる未公開のバックドアを含んでいます。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2025年3月28日0:00
登録日	2026年1月14日16:34
最終更新日	2026年1月14日16:34

CVSS3.0 : 警告
スコア	6.6
ベクター	CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

unitree

Go1 ファームウェア

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-2894	https://www.cve.org/CVERecord?id=CVE-2025-2894
National Vulnerability Database (NVD)
2	CVE-2025-2894	https://nvd.nist.gov/vuln/detail/CVE-2025-2894
The Austin Hackers Association
3	CVE-2025-2894 :: AHA!	https://takeonme.org/cves/cve-2025-2894/

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-912	https://cwe.mitre.org/data/definitions/912.html

ベンダー情報

No	名前	URL
Code
1	YushuTechUnitreeGo1/Unitree_report.pdf at main MAVProxyUser/YushuTechUnitreeGo1 GitHub	https://github.com/MAVProxyUser/YushuTechUnitreeGo1/blob/main/Unitree_report.pdf
Issues
2	Zhexi Oray Tunnel Backdoor in Go1 has been disclosed please advise... Issue #120 unitreerobotics/unitree_ros	https://github.com/unitreerobotics/unitree_ros/issues/120

その他

No	名前	URL
関連文書
1	Chinese robotics manufacturer left backdoor in product	https://www.axios.com/2025/04/01/threat-spotlight-backdoor-in-chinese-robots-future-of-cybersecurity
2	XユーザーのKFさん: 「Over the last two years multiple people have asked me about the @unitreerobotics NAT Puncher known as Cloudsail, or Zhexi. This enables backdoor network access via China through your Go1. Go2 likely has a similar service. Be careful.	https://x.com/d0tslash/status/1730989109332607208

変更履歴

No	変更内容	変更日
1	[2026年01月14日] 掲載	2026年1月14日16:34

NVD脆弱性情報

CVE-2025-2894

概要	The Go1 also known as "The World's First Intelligence Bionic Quadruped Robot Companion of Consumer Level," contains an undocumented backdoor that can enable the manufacturer, and anyone in possession of the correct API key, complete remote control over the affected robotic device using the CloudSail remote access service.
公表日	2025年3月28日12:15
登録日	2025年3月29日4:01
最終更新日	2025年4月4日0:15

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/MAVProxyUser/YushuTechUnitreeGo1/blob/main/Unitree_report.pdf
2	https://github.com/unitreerobotics/unitree_ros/issues/120
3	https://takeonme.org/cves/cve-2025-2894/
4	https://www.axios.com/2025/04/01/threat-spotlight-backdoor-in-chinese-robots-future-of-cybersecurity
5	https://x.com/d0tslash/status/1730989109332607208

共通脆弱性一覧