公開日:2025/11/07 最終更新日:2025/11/07

JVNVU#91601747
複数のABB製品における複数の脆弱性

概要

ABBが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • FBXi-8R8-X96(2CQG201028R1011) バージョン 9.3.5およびそれ以前
  • FBXi-8R8-H-X96(2CQG201029R1011)バージョン 9.3.5およびそれ以前
  • FBXi-X256(2CQG201014R1021)バージョン 9.3.5およびそれ以前
  • FBXi-X48(2CQG201018R1021)バージョン 9.3.5およびそれ以前
  • FBXi-8R8-X96-S(2CQG201606R1011)バージョン 9.3.5およびそれ以前
  • FBVi-2U4-4T(2CQG201015R1021)バージョン 9.3.5およびそれ以前
  • FBVi-2U4-4T-IMP(2CQG201016R1021)バージョン 9.3.5およびそれ以前
  • FBVi-2U4-4T-SI バージョン 9.3.5およびそれ以前
  • FBTi-7T7-1U1R(2CQG201022R1011)バージョン 9.3.5およびそれ以前
  • FBTi-6T1-1U1R(2CQG201022R1011)バージョン 9.3.5およびそれ以前
  • CBXi-8R8(2CQG201001R1021)バージョン 9.3.5およびそれ以前
  • CBXi-8R8-H(2CQG201001R1021)バージョン 9.3.5およびそれ以前

詳細情報

ABBが提供する複数の製品には、次の複数の脆弱性が存在します。

  • ハードコードされた認証情報の使用(CWE-798)
    • CVE-2024-48842
  • 入力が想定した形式であるかを検証しないか、検証が不適切(CWE-1287)
    • CVE-2024-48851、CVE-2025-10207
  • Salt を使用しない一方向ハッシュの使用(CWE-759)
    • CVE-2025-10205

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品の稼働に必要な認証情報をハードウェアに安全に保存できない(CVE-2024-48842)
  • リモートコードを実行される(CVE-2024-48851)
  • 使用が禁止されたディレクトリ内でファイルを操作される(CVE-2025-10207)
  • パスワードハッシュが脆弱なMD5アルゴリズムを使用して生成され、暗号化されていないパーティション上で平文保存される(CVE-2025-10205)

対策方法

CVE-2024-48851、CVE-2025-10207
アップデートする
2025年11月7日時点、アップデートは提供されていません。
開発者はアップデート提供を予定しているため、提供され次第適用してください。

CVE-2024-48842、CVE-2025-10205
ワークアラウンドを実施する
アップデート提供は予定されていません。
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
ABB 9AKK108471A7121 | FLXeon Controllers Multiple vulnerabilities Several CVE’s, see table inside document(PDF)

参考情報

  1. ICS Advisory | ICSA-25-310-03
    ABB FLXeon Controllers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia