公開日:2025/02/05 最終更新日:2025/02/05

JVNVU#95333986
複数のWestern Telematic, Inc.製品における外部から制御可能なファイル名やパスの脆弱性

概要

Western Telematic, Inc.が提供する複数の製品には、外部から制御可能なファイル名やパスの脆弱性が存在します。

影響を受けるシステム

  • Network Power Switch (NPS Series) ファームウェアバージョン 6.62およびそれ以前
  • Console Server (DSM Series) ファームウェアバージョン 6.62およびそれ以前
  • Console Server + PDU Combo Unit (CPM Series) ファームウェアバージョン 6.62およびそれ以前

詳細情報

Western Telematic, Inc.が提供する複数の製品には、次の脆弱性が存在します。

  • 外部から制御可能なファイル名やパス(CWE-73)
    • CVE-2025-0630

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証済みのユーザーによって、ローカルファイルインクルージョン攻撃(LFI)でデバイスのファイルシステム上のファイルに特権アクセスされる

対策方法

アップデートする
開発者は、本脆弱性に対応したNPS units 4.02およびDSM/CPM units 8.06を提供しています。

ベンダ情報

ベンダ リンク
Western Telematic, Inc. WTI Firmwares

参考情報

  1. ICS Advisory | ICSA-25-035-01
    Western Telematic Inc NPS Series, DSM Series, CPM Series

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia