公開日:2025/11/19 最終更新日:2025/11/19

JVNVU#94917669
複数のShelly製品における複数の脆弱性

概要

Shellyが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-11243

  • Pro 4PM v1.6より前のバージョン
CVE-2025-12056
  • Pro 3EM すべてのバージョン

詳細情報

Shellyが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 制限または調整なしのリソースの割り当て(CWE-770)
    • CVE-2025-11243
  • 境界外読み取り(CWE-125)
    • CVE-2025-12056

想定される影響

攻撃者によって細工されたリクエストを送信された場合、サービス運用妨害(DoS)状態を引き起こされる可能性があります。

対策方法

開発者に問い合わせる
2025年11月19日現在、開発者による対応などの情報提供は確認できていません。
当該製品を利用している場合は、開発者に問い合わせてください。

なおCISAは、CVE-2025-11243について、Pro 4PM 1.6.0およびそれ以降のバージョンでは本脆弱性の影響を受けないとしています。
詳細は、ICS Advisoryを確認してください。

ベンダ情報

ベンダ リンク
Shelly Contact us

参考情報

  1. ICS Advisory | ICSA-25-322-02
    Shelly Pro 4PM
  2. ICS Advisory | ICSA-25-322-03
    Shelly Pro 3EM

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia