公開日:2025/10/16 最終更新日:2025/10/16
JVN#72648885
Ruijie Networks製RG-EST300におけるSSH機能が有効になっている問題
Ruijie Networksが提供するRG-EST300には、SSHサーバー機能が実装されていますがマニュアルには記載されておらず、さらに初期設定で有効になっています。
- RG-EST300
- AP_3.0(1)B2P18_EST300_06210514
- AP_3.0(1)B2P10_EST300_06151523
- AP_3.0(1)B2P10_EST300_05232216
- AP_3.0(1)B2P10_EST300_05220814
Ruijie Networksが提供するRG-EST300には、SSHサーバー機能が実装されていますがマニュアルには記載されておらず、さらに初期設定で有効になっています。
- 非公開機能を悪用される問題(CWE-912)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6
- CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
- CVE-2025-58778
認証情報を知っていれば、当該機器にログイン可能です。その結果、システム内の情報漏洩、システムの改ざん、サービス運用妨害(DoS)攻撃等が行われる可能性があります。
現行製品の利用を停止し、後継製品に乗り換える
開発者によると、当該製品はすでにサポートが終了しているとのことです。後継製品への乗り換え等を検討してください。
詳細は、開発者が提供する情報を確認してください。
| ベンダ | リンク |
| Ruijie Networks Co., Ltd. | 锐捷睿易网桥EST300存在安全漏洞(簡体字中国語) |
| Product Life Cycle Policy |
この脆弱性情報は、下記の方が、製品開発者に直接報告し製品開発者との調整を経て、情報セキュリティ早期警戒パートナーシップに基づきIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:横浜国立大学 九鬼琉 氏、宮本岩麒 氏、佐々木貴之 氏、吉岡克成 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2025-58778 |
| JVN iPedia |
JVNDB-2025-000087 |
