公開日:2025/07/10 最終更新日:2025/07/10
JVNVU#96617900
複数のRUCKUS製品における複数の脆弱性
RUCKUS Networksが提供する複数の製品には、複数の脆弱性が存在します。
2025年7月10日現在、影響を受けるバージョンは不明です。
CVE-2025-44957、CVE-2025-44962、CVE-2025-44954、CVE-2025-44960、CVE-2025-44961
- Virtual SmartZone(vSZ)
- Network Director(RND)
RUCKUS Networksが提供する複数の製品には、次の複数の脆弱性が存在します。
- 不適切な認証(CWE-287)
- CVE-2025-44957
- 相対パストラバーサル(CWE-23)
- CVE-2025-44962
- 初期暗号鍵の使用(CWE-1394)
- CVE-2025-44954
- OSコマンドインジェクション(CWE-78)
- CVE-2025-44960
- コマンドインジェクション(CWE-77)
- CVE-2025-44961
- ハードコードされた暗号鍵の使用(CWE-321)
- CVE-2025-44963、CVE-2025-6243
- ハードコードされたパスワードの使用(CWE-259)
- CVE-2025-44955
- 復元可能な形式でのパスワード保存(CWE-257)
- CVE-2025-44958
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 認証を回避され、権限を昇格される(CVE-2025-44957)
../
を使用して他のディレクトリパスを横断され、機微なファイルを読み取られる(CVE-2025-44962)- SSH接続され、管理者権限を取得される(CVE-2025-44954)
- 悪意あるペイロードを送信され、OSコマンドを実行される(CVE-2025-44960)
- IPアドレスが無害化されず、意図しないコマンドを送信される(CVE-2025-44961)
- サーバーへのアクセス認証を回避され、管理者権限でサーバーにアクセスされる(CVE-2025-44963)
- 管理者権限でサーバーヘアクセスされる(CVE-2025-44955)
- 管理者権限を持つユーザーとしてサーバーヘアクセスされる(CVE-2025-6243)
- 復元可能な形式で保存されたパスワードを取得され、復号される(CVE-2025-44958)
ワークアラウンドを実施する
2025年7月10日現在、修正パッチは提供されていません。そのため、一般的な緩和策の適用が推奨されています。
詳細は、後述の[参考情報]を確認してください。
-
CERT/CC Vulnerability Note VU#613753
Ruckus Virtual SmartZone (vSZ) and Ruckus Network Director (RND) contain multiple vulnerabilities