公開日:2026/01/07 最終更新日:2026/01/07

JVNVU#98349563
Columbia Weather Systems製MicroServerにおける複数の脆弱性

概要

Columbia Weather Systemsが提供するMicroServerには、複数の脆弱性が存在します。

影響を受けるシステム

  • MicroServer ファームウェア MS_4.1_14142より前のバージョン

詳細情報

Columbia Weather Systemsが提供するMicroServerには、次の複数の脆弱性が存在します。

  • 意図しないエンドポイントとの通信を拒否しない(CWE-923)
    • CVE-2025-61939
  • ファイル内またはディスク上の平文保存(CWE-313)
    • CVE-2025-64305
  • 外部アクセス可能なディレクトリ内のコマンドシェル(CWE-553)
    • CVE-2025-66620

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品の管理者アクセス権を持ち、DNS応答を操作できるローカルの攻撃者によって、攻撃者が制御するデバイスへSSH接続でリダイレクトさせられる(CVE-2025-61939)
  • ベンダファームウェアを改ざんされたり、ウェブポータルの管理者アクセス権を取得されたりする(CVE-2025-64305)
  • 当該製品の管理者アクセス権を持つ攻撃者によって、限定的なシェルアクセス権の取得およびリバースシェルを介したアクセス権の永続化をされたり、ファイルシステムに保存されたデータの改ざんや削除をされたりする(CVE-2025-66620)

対策方法

アップデートする
開発者は、アップデートを提供しています。
アップデートの取得については、直接メールまたは電話で開発者にお問い合わせください。
詳細は、ICS Advisoryの情報を確認してください。

ベンダ情報

ベンダ リンク
Columbia Weather Systems Technical Support, return,

参考情報

  1. ICS Advisory | ICSA-26-006-01
    Columbia Weather Systems MicroServer

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia