公開日:2025/05/22 最終更新日:2025/05/22

JVNVU#96043137
ABUP製IoT Cloud Platformにおける不適切な権限の割り当ての脆弱性

概要

ABUPが提供するIoT Cloud Platformには、不適切な権限の割り当ての脆弱性が存在します。

影響を受けるシステム

  • ABUP IoT Cloud Platform すべてのバージョン

詳細情報

ABUPが提供するIoT Cloud Platformには、次の脆弱性が存在します。

  • 不適切な権限の割り当て(CWE-266)
    • CVE-2025-4692

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • クラウド上で公開されている脆弱なメソッドに悪意のあるJWTを送信されると、権限昇格され、Cloud Update Platformで管理されている任意のデバイスへのアクセス権限を取得される。

対策方法

脆弱なメソッドはすでに削除され、現在はアクセスできなくなっているため、特別な対応を取る必要はありません。
Cloud Update Platformユーザーは、2025年4月19日まで脆弱性が存在していたことを認識し、認証情報の変更を検討してください。

詳細は、ICS Advisoryを確認してください。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-25-140-01
    ABUP IoT Cloud Platform

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia