公開日:2025/06/27 最終更新日:2025/06/27
JVNVU#93396297
ティービーアイ製ネットワークレコーダおよびAHDレコーダにおける複数の脆弱性
株式会社ティービーアイが提供するネットワークレコーダおよびAHDレコーダには、複数の脆弱性が存在します。
- XRN-410SN/TE ファームウェアバージョン Ver2.47b_220119153805およびそれ以前
- XRN-810SN/TE ファームウェアバージョン Ver2.47b_220119153805およびそれ以前
- XRN-1610SN/TE ファームウェアバージョン Ver2.47b_210516234524およびそれ以前
- PRN-4011N/TE ファームウェアバージョン Ver2.51p_231208081715およびそれ以前
- HRX-421FN/TE ファームウェアバージョン Ver3.05.62およびそれ以前
- HRX-821/TE ファームウェアバージョン Ver3.05.62およびそれ以前
- HRX-1621/TE ファームウェアバージョン Ver3.05.62およびそれ以前
- HRX-435FN/TE ファームウェアバージョン Ver5.31.72およびそれ以前
- HRX-835/TE ファームウェアバージョン Ver5.31.72およびそれ以前
- HRX-1635/TE ファームウェアバージョン Ver5.31.72およびそれ以前
- XRN-425SFN/TE ファームウェアバージョン Ver5.31.32およびそれ以前
- XRN-426S ファームウェアバージョン Ver5.33.12およびそれ以前
- XRN-820S/TE ファームウェアバージョン Ver5.34.12およびそれ以前
- XRN-1620S/TE ファームウェアバージョン Ver5.34.12およびそれ以前
- XRN-3210R/TE ファームウェアバージョン Ver5.34.12およびそれ以前
- XRN-6410R/TE ファームウェアバージョン Ver5.34.12およびそれ以前
- XRN-6410DR/TE ファームウェアバージョン Ver5.34.12およびそれ以前
株式会社ティービーアイが提供するネットワークレコーダおよびAHDレコーダには、次の複数の脆弱性が存在します。
- OSコマンドインジェクション(CWE-78)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6
- CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
- CVE-2025-36529
- バッファオーバーフロー(CWE-120)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
- CVE-2025-41418
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該機器にログインした第三者によって、任意のOSコマンドを実行される(CVE-2025-36529)
- 細工されたリクエストを処理することで、CGIプロセスが異常終了する(CVE-2025-41418)
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
ワークアラウンドを実施する
開発者は、管理者パスワードを推測されにくいものに変更することを推奨しています。
詳細は、開発者が提供する情報をご確認ください。
| ベンダ | リンク |
| 株式会社ティービーアイ | ネットワークレコーダ・AHDレコーダをご利用のお客様への重要なお知らせ |
これらの脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ゼロゼロワン 早川 宙也 氏、神野 亮 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2025-36529 |
|
CVE-2025-41418 |
|
| JVN iPedia |
|
