公開日:2025/12/16 最終更新日:2025/12/16
JVNVU#92827367
チョコ停ウォッチャーminiにおける複数の脆弱性
因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、複数の脆弱性が存在します。
チョコ停ウォッチャーmini(IB-MCT001)すべてのバージョン
因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、次の複数の脆弱性が存在します。
- クリックジャッキング(CWE-1021)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 - CVE-2025-59479
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
- 例外的状況に対する確認が不適切(CWE-754)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5
- CVE-2025-61976
- 例外的状況に対する確認が不適切(CWE-754)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
- CVE-2025-66357
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品ログイン済みのユーザが細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる(CVE-2025-59479)
- 動画ダウンロード機能において、攻撃者により細工されたリクエストを送信されると、システムが停止する(CVE-2025-61976)
- 動画ダウンロード機能において、特定の条件の通信状態に置かれると、リソースが異常に消費される(CVE-2025-66357)
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- 当該製品はLAN内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する
- 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)などを使用し、不正アクセスを防止した上で、接続を必要最小限にする
| ベンダ | リンク |
| 因幡電機産業株式会社 | チョコ停ウォッチャーmini における新たに確認された複数の脆弱性について(PDF) |
この脆弱性情報は、ジェイテクトエレクトロニクス 品質保証課が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2025-59479 |
|
CVE-2025-61976 |
|
|
CVE-2025-66357 |
|
| JVN iPedia |
|
