公開日:2025/07/30 最終更新日:2025/07/30

JVNVU#98380294
Samsung製HVAC DMSにおける複数の脆弱性

概要

Samsungが提供するHVAC DMSには、複数の脆弱性が存在します。

影響を受けるシステム

  • Samsung HVAC DMS バージョン2.0.0から2.3.13.0、2.5.0.17から2.6.14.0、2.7.0.15から2.9.3.5

詳細情報

Samsungが提供するHVAC DMSには、次の複数の脆弱性が存在します。

  • リダイレクト後の実行(EAR)(CWE-698)
    • CVE-2025-53077
  • 信頼できないデータのデシリアライゼーション(CWE-502)
    • CVE-2025-53078
  • 絶対パストラバーサル(CWE-36)
    • CVE-2025-53079
  • パストラバーサル(CWE-22)
    • CVE-2025-53080、CVE-2025-53081
  • 相対パストラバーサル(CWE-23)
    • CVE-2025-53082

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 制限された機能を認証なしで実行され、結果として当該製品の完全性を侵害される(CVE-2025-53077)
  • 任意のコードを実行される(CVE-2025-53078)
  • 管理者権限を取得した第三者によって機微なファイルを読み取られる(CVE-2025-53079)
  • ファイルシステム上に任意のファイルを作成される(CVE-2025-53080、CVE-2025-53081)
  • ファイルシステム上の任意のファイルを削除される(CVE-2025-53082)

対策方法

アップデートする
開発者は、アップデートを提供しています。
アップデートを行う場合は開発者またはインストール業者へ連絡することを推奨しています。
また、当該製品はインターネット接続を想定した製品ではないとのことです。
詳細は、ICS Advisoryまたは開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Samsung Samsung Security Updates

参考情報

  1. ICS Advisory | ICSA-25-210-02
    Samsung HVAC DMS

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia