公開日:2025/06/11 最終更新日:2025/06/11

JVNVU#95414770
SinoTrack製IOT PC Platformにおける複数の脆弱性

概要

SinoTrackが提供するIOT PC Platformには、複数の脆弱性が存在します。

影響を受けるシステム

  • SinoTrack IOT PC Platform すべてのバージョン

詳細情報

SinoTrackが提供するIOT PC Platformには、次の複数の脆弱性が存在します。

  • 脆弱な認証(CWE-1390)
    • CVE-2025-5484
    • SinoTrackデバイス管理インターフェースの認証には、当該機器に印刷されたユーザー名(識別子)とパスワードが必要だが、デフォルトパスワードは良く知られており、セットアップ時にパスワード変更を強制していない
  • セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい (CWE-204)
    • CVE-2025-5485

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該機器への物理的アクセスやWebサイトに投稿された当該デバイスの写真などによって識別子を取得した攻撃者が、SinoTrackデバイス管理インターフェースの認証に成功する(CVE-2025-5484)
  • 遠隔の第三者によって、攻撃される可能性のある対象を列挙される(CVE-2025-5485)
結果として、車両の位置追跡などの一部のリモート機能を実行される可能性があります。

対策方法

開発者に問い合わせる
2025年6月11日現在、開発者による対応などの情報提供は確認できていません。
詳細は、開発者に問い合わせてください。

ベンダ情報

ベンダ リンク
SinoTrack Group Contact
SinoTrack - GPS Tracking System

参考情報

  1. ICS Advisory | ICSA-25-160-01
    SinoTrack GPS Receiver

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia