公開日:2025/12/05 最終更新日:2025/12/05

JVNVU#91904913
複数のJohnson Controls製品における複数の脆弱性

概要

Johnson Controlsが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-26381

  • OpenBlue Mobile Web Application for OpenBlue Workplace 2025.1.2およびそれ以前のバージョン
CVE-2025-61736
  • iSTAR eX TLS 1.2より前のバージョン
  • iSTAR Edge TLS 1.2より前のバージョン
  • iSTAR Ultra LT(TLS 1.2の場合) TLS 1.2より前のバージョン
  • iSTAR Ultra(TLS 1.2の場合) TLS 1.2より前のバージョン
  • iSTAR Ultra SE(TLS 1.2の場合) TLS 1.2より前のバージョン

詳細情報

Johnson Controlsが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 強制ブラウジング(CWE-425)
    • CVE-2025-26381
  • 証明書の有効期限の不適切な検証(CWE-298)
    • CVE-2025-61736

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 機微な情報に不正アクセスされる(CVE-2025-26381)
  • 特定の状況下で証明書の有効期限が切れた後、通信を再確立できなくなる(CVE-2025-61736)

対策方法

CVE-2025-26381
パッチを適用する
パッチが提供され次第、適用してください。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

CVE-2025-61736
利用するTLSのバージョンなどに合わせて対策する
開発者は、TLS 1.2の使用またはTLS1.3への変更、レガシーパネルの移行に関して、対策を示しています。

詳細は、ICS Advisoryまたは開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Johnson Controls Security Advisories

参考情報

  1. ICS Advisory | ICSA-25-338-03
    Johnson Controls OpenBlue Mobile Web Application for OpenBlue Workplace
  2. ICS Advisory | ICSA-25-338-04
    Johnson Controls iSTAR

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia