公開日:2025/07/10 最終更新日:2025/07/10

JVNVU#96617900
複数のRUCKUS製品における複数の脆弱性

概要

RUCKUS Networksが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

2025年7月10日現在、影響を受けるバージョンは不明です。

CVE-2025-44957、CVE-2025-44962、CVE-2025-44954、CVE-2025-44960、CVE-2025-44961

  • Virtual SmartZone(vSZ)
CVE-2025-44963、CVE-2025-44955、CVE-2025-6243、CVE-2025-44958
  • Network Director(RND)

詳細情報

RUCKUS Networksが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不適切な認証(CWE-287)
    • CVE-2025-44957
  • 相対パストラバーサル(CWE-23)
    • CVE-2025-44962
  • 初期暗号鍵の使用(CWE-1394)
    • CVE-2025-44954
  • OSコマンドインジェクション(CWE-78)
    • CVE-2025-44960
  • コマンドインジェクション(CWE-77)
    • CVE-2025-44961
  • ハードコードされた暗号鍵の使用(CWE-321)
    • CVE-2025-44963、CVE-2025-6243
  • ハードコードされたパスワードの使用(CWE-259)
    • CVE-2025-44955
  • 復元可能な形式でのパスワード保存(CWE-257)
    • CVE-2025-44958

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証を回避され、権限を昇格される(CVE-2025-44957)
  • ../を使用して他のディレクトリパスを横断され、機微なファイルを読み取られる(CVE-2025-44962)
  • SSH接続され、管理者権限を取得される(CVE-2025-44954)
  • 悪意あるペイロードを送信され、OSコマンドを実行される(CVE-2025-44960)
  • IPアドレスが無害化されず、意図しないコマンドを送信される(CVE-2025-44961)
  • サーバーへのアクセス認証を回避され、管理者権限でサーバーにアクセスされる(CVE-2025-44963)
  • 管理者権限でサーバーヘアクセスされる(CVE-2025-44955)
  • 管理者権限を持つユーザーとしてサーバーヘアクセスされる(CVE-2025-6243)
  • 復元可能な形式で保存されたパスワードを取得され、復号される(CVE-2025-44958)

対策方法

ワークアラウンドを実施する
2025年7月10日現在、修正パッチは提供されていません。そのため、一般的な緩和策の適用が推奨されています。
詳細は、後述の[参考情報]を確認してください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#613753
    Ruckus Virtual SmartZone (vSZ) and Ruckus Network Director (RND) contain multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia