公開日:2026/01/14 最終更新日:2026/01/14

JVNVU#93740997
複数のYoSmart製品における複数の脆弱性

概要

YoSmartが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-59449、CVE-2025-59451

  • YoSmart Cloud Server すべてのバージョン
CVE-2025-59452
  • YoLink Hub - YS1603 バージョン 0382
CVE-2025-59448
  • YoLink Application v1.40.45より前のバージョン

詳細情報

YoSmartが提供する複数には、次の複数の脆弱性が存在します。

  • 不適切な権限チェック(CWE-863)
    • CVE-2025-59449、CVE-2025-59451
  • 予測可能な数字や識別子の生成(CWE-340)
    • CVE-2025-59452
  • 重要情報の平文送信(CWE-319)
    • CVE-2025-59448

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • MQTTインターフェイスへの認証を回避される(CVE-2025-59449、CVE-2025-59451)
  • 認証を回避される(CVE-2025-59452)
  • 安全でないデータ送信をされる(CVE-2025-59448)

対策方法

CVE-2025-59448
アプリケーションをアップデートする
開発者は、アップデートを提供しています。
開発者が提供する情報をもとに、アップデートを適用してください。

CVE-2025-59449、CVE-2025-59451
開発者によってサーバー側でパッチが適用されたため、ユーザーによる対応は不要です。

CVE-2025-59452
自動でアップデートが適用されるため、ユーザーによる対応は不要です。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
YoSmart YOSMART-SA-2025-001 | YoSmart Security Advisory

参考情報

  1. ICS Advisory | ICSA-26-013-03
    YoSmart YoLink Smart Hub

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia