公開日:2025/10/31 最終更新日:2025/10/31

JVNVU#94719458
Hitachi Energy製TropOS 4th Genにおける複数の脆弱性

概要

Hitachi Energyが提供するTropOS 4th Genには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-1036、CVE-2025-1037

  • TropOS 4th Gen Firmware 8.9.6.0およびそれ以前のバージョン
CVE-2025-1038
  • TropOS 4th Gen Firmware 8.9.6.0より前のバージョン

詳細情報

Hitachi Energyが提供するTropOS 4th Genには、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション(CWE-78)
    • CVE-2025-1036、CVE-2025-1038
  • 不適切な権限管理(CWE-269)
    • CVE-2025-1037

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 低権限ユーザーによって任意のOSコマンドを実行され、当該デバイスへのroot SSHアクセス権を取得される(CVE-2025-1036)
  • 当該デバイスに軽微な設定変更を加えることで、ユーザーレベルシェルコマンドの実行権限を持つユーザーによって無制限のrootシェルへアクセスされる(CVE-2025-1037)
  • 高権限ユーザーによって当該デバイスのコマンドシェルにコマンドを挿入され、rootアクセス権を取得される(CVE-2025-1038)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Hitachi Energy 8DBD000214 | Multiple Vulnerabilities in Hitachi Energy TropOS 4th Gen Products

参考情報

  1. ICS Advisory | ICSA-25-303-02
    Hitachi Energy TropOS

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia