公開日:2025/01/31 最終更新日:2025/01/31

JVNVU#90990932
複数のNew Rock Technologies製品における複数の脆弱性

概要

New Rock Technologiesが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • OM500 IP-PBX すべてのバージョン
  • MX8G VoIP Gateway すべてのバージョン
  • NRP1302/P Desktop IP Phone すべてのバージョン

詳細情報

New Rock Technologiesが提供する複数の製品には、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション(CWE-78)
    • CVE-2025-0680
  • ワイルドカードやマッチングシンボルの不適切な無害化(CWE-155)
    • CVE-2025-0681

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の攻撃者によって、クラウドに接続された任意のデバイスを制御される(CVE-2025-0680)
  • 攻撃者によって、Cloud MQTTサービスの通信を盗聴され機微な情報を取得される(CVE-2025-0681)

対策方法

開発者に問い合わせる
2025年1月31日現在、開発者による対応などの情報提供は確認できていません。
詳細は、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
New Rock Technologies Contact Us

参考情報

  1. ICS Advisory | ICSA-25-030-02
    New Rock Technologies Cloud Connected Devices

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia