公開日:2025/08/08 最終更新日:2025/09/10

JVNVU#98646422
EG4 Electronics製EG4インバーターにおける複数の脆弱性

概要

EG4 Electronicsが提供するEG4インバーターには、複数の脆弱性が存在します。

影響を受けるシステム

  • EG4 12kPV すべてのバージョン
  • EG4 18kPV すべてのバージョン
  • EG4 Flex 21 すべてのバージョン
  • EG4 Flex 18 すべてのバージョン
  • EG4 6000XP すべてのバージョン
  • EG4 12000XP すべてのバージョン
  • EG4 GridBoss すべてのバージョン

詳細情報

EG4 Electronicsが提供するEG4インバーターには、次の複数の脆弱性が存在します。

  • 重要な情報の平文送信(CWE-319)
    • CVE-2025-52586
  • ダウンロードしたコードの完全性検証不備(CWE-494)
    • CVE-2025-53520
  • セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい(CWE-203)
    • CVE-2025-47872
  • 過度な認証試行の不適切な制限(CWE-307)
    • CVE-2025-46414

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • MOD3コマンドの通信が平文で送信されており、電圧、電流、電力設定および運用状況、アラーム、テレメトリ、システムリセットまたはインバーター制御コマンドの読み書き操作を含む重要なデータの傍受、改ざん、再送信、偽造をされ、発電の妨害やインバーター設定の再構成をされる(CVE-2025-52586)
  • ファームウェアに使用されるTTCompアーカイブ形式が暗号化されておらず、検出されずに解凍・改変される(CVE-2025-53520)
  • 異なるシリアル番号の製品登録ステータスに関する情報を取得される(CVE-2025-47872)
  • PINを入力する試行回数が制限されておらず、ブルートフォース攻撃で不正アクセスされる(CVE-2025-46414)

対策方法

CVE-2025-46414については、2025年4月6日に修正されているため、ユーザーによる対応は不要です。
CVE-2025-47872については、2025年8月14日にエンドポイントのレスポンスが標準化されているため、ユーザーによる対応は不要です。
CVE-2025-53520については、2025年9月9日にICS Advisoryにてアップデートが提供された旨のアナウンスがありました。アップデートを希望するユーザはsupport@eg4electronics.comへ連絡してください。
CVE-2025-52586については、2025年9月9日にICS Advisoryにてアップデートが提供された旨のアナウンスがありました。アップデートを希望するユーザはこちらを確認してください。

詳細は、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
EG4 Electronics Contact EG4
EG4 Wi-Fi Dongle DONGLE FIRMWARE UPDATE(PDF)

参考情報

  1. ICS Advisory | ICSA-25-219-07
    EG4 Electronics EG4 Inverters

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/08/20
[対策方法]を更新しました
2025/09/10
[対策方法]、[ベンダ情報]を更新しました