公開日:2025/04/25 最終更新日:2025/04/25

JVNVU#92218742
複数のPlanet Technology製品における複数の脆弱性

概要

Planet Technologyが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-46271、CVE-2025-46273、CVE-2025-46274

  • UNI-NMS-Lite 1.0b211018およびそれ以前のバージョン
CVE-2025-46272、CVE-2025-46275
  • WGS-804HPT-V2 2.305b250121およびそれ以前のバージョン
  • WGS-4215-8T2S 1.305b241115およびそれ以前のバージョン

詳細情報

Planet Technologyが提供する複数の製品には、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション(CWE-78)
    • CVE-2025-46271、CVE-2025-46272
  • ハードコードされた認証情報の使用(CWE-798)
    • CVE-2025-46273、CVE-2025-46274
  • 重要な機能に対する認証の欠如(CWE-306)
    • CVE-2025-46275

想定される影響

脆弱性を悪用された場合、攻撃者によって次のような影響を受ける可能性があります。

  • デバイスのデータを読みとられたり、操作されたりする(CVE-2025-46271)
  • ホストシステム上でOSコマンドを実行される(CVE-2025-46272)
  • UNI-NMSで管理しているすべてのデバイスに対して管理者権限を取得される(CVE-2025-46273)
  • 管理対象データベース内のエントリを読み取られたり、操作されたり、作成されたりする(CVE-2025-46274)
  • 既存の認証情報を知らなくても管理者権限を作成される(CVE-2025-46275)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
PLANET Technology UNI-NMS / UNI-NMS-LITE - Universal Network Management System
WGS-804HPT - Flat-type L2+/L2 Ring Managed Gigabit PoE Switch
WGS-4215-8T2S - L2/L4 Managed Gigabit Ethernet Switch

参考情報

  1. ICS Advisory | ICSA-25-114-06
    Planet Technology Network Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia