JVNVU#98646422
EG4 Electronics製EG4インバーターにおける複数の脆弱性

EG4 Electronicsが提供するEG4インバーターには、複数の脆弱性が存在します。

• EG4 12kPV すべてのバージョン
• EG4 18kPV すべてのバージョン
• EG4 Flex 21 すべてのバージョン
• EG4 Flex 18 すべてのバージョン
• EG4 6000XP すべてのバージョン
• EG4 12000XP すべてのバージョン
• EG4 GridBoss すべてのバージョン

EG4 Electronicsが提供するEG4インバーターには、次の複数の脆弱性が存在します。

• 重要な情報の平文送信（CWE-319）
  • CVE-2025-52586
• ダウンロードしたコードの完全性検証不備（CWE-494）
  • CVE-2025-53520
• セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい（CWE-203）
  • CVE-2025-47872
• 過度な認証試行の不適切な制限（CWE-307）
  • CVE-2025-46414

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• MOD3コマンドの通信が平文で送信されており、電圧、電流、電力設定および運用状況、アラーム、テレメトリ、システムリセットまたはインバーター制御コマンドの読み書き操作を含む重要なデータの傍受、改ざん、再送信、偽造をされ、発電の妨害やインバーター設定の再構成をされる（CVE-2025-52586）
• ファームウェアに使用されるTTCompアーカイブ形式が暗号化されておらず、検出されずに解凍・改変される（CVE-2025-53520）
• 異なるシリアル番号の製品登録ステータスに関する情報を取得される（CVE-2025-47872）
• PINを入力する試行回数が制限されておらず、ブルートフォース攻撃で不正アクセスされる（CVE-2025-46414）

開発者は、2025年10月15日までに新しいハードウェアをリリース予定とのことです。
それまでの間は、開発者がすべてのインストール済みシステムを積極的に監視し、異常が確認された場合には、影響を受けるユーザーと個別に対応を進めると述べています。
CVE-2025-46414については、2025年4月6日に修正されているため、ユーザーによる対応は不要です。
CVE-2025-47872については、2025年8月14日にエンドポイントのレスポンスが標準化されているため、ユーザーによる対応は不要です。

詳細は、開発者にお問い合わせください。