| タイトル | Columbia Weather Systems製MicroServerにおける複数の脆弱性 |
|---|---|
| 概要 | Columbia Weather Systemsが提供するMicroServerには、次の複数の脆弱性が存在します。<ul><li>意図しないエンドポイントとの通信を拒否しない(CWE-923)- CVE-2025-61939</li><li>ファイル内またはディスク上の平文保存(CWE-313)- CVE-2025-64305</li><li>外部アクセス可能なディレクトリ内のコマンドシェル(CWE-553)- CVE-2025-66620</li></ul> |
| 想定される影響 | 脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>当該製品の管理者アクセス権を持ち、DNS応答を操作できるローカルの攻撃者によって、攻撃者が制御するデバイスへSSH接続でリダイレクトさせられる(CVE-2025-61939)</li><li>ベンダファームウェアを改ざんされたり、ウェブポータルの管理者アクセス権を取得されたりする(CVE-2025-64305)</li><li>当該製品の管理者アクセス権を持つ攻撃者によって、限定的なシェルアクセス権の取得およびリバースシェルを介したアクセス権の永続化をされたり、ファイルシステムに保存されたデータの改ざんや削除をされたりする(CVE-2025-66620)</li></ul> |
| 対策 | [アップデートする] 開発者は、アップデートを提供しています。 アップデートの取得については、直接メールまたは電話で開発者にお問い合わせください。 詳細は、ICS Advisoryの情報を確認してください。 |
| 公表日 | 2026年1月7日0:00 |
| 登録日 | 2026年1月8日10:37 |
| 最終更新日 | 2026年1月8日10:37 |
| Columbia Weather Systems |
| Weather MicroServer ファームウェア MS_4.1_14142より前のバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月08日] 掲載 |
2026年1月8日10:37 |