Eatonは、同社のUPS Companionソフトウェアにおける危険な欠陥について警告する重大なセキュリティアドバイザリを公開しました。
2件の高深刻度の脆弱性により、世界中の組織で使用されている電源管理システム上で、攻撃者が任意のコードを実行できる可能性があります。
同社は、セキュリティアドバイザリETN-VA-2025-1026において2件の脆弱性を開示しました。いずれの欠陥も、無停電電源装置(UPS)管理のためにEatonのソフトウェアに依存している組織にとって重大なリスクとなります。
CVE-2025-59887はより危険な欠陥で、CVSSスケールで8.6を記録しています。この脆弱性はEaton IPPソフトウェアのインストーラーに影響し、安全でないライブラリ読み込みに起因します。
ソフトウェアパッケージにアクセスできた攻撃者は、この弱点を悪用してホストシステム上で任意のコードを実行する可能性があります。
高い深刻度評価は、攻撃の複雑性が最小限で済む一方で、機密性・完全性・可用性に損害を与える可能性があることを反映しています。
CVE-2025-59888はCVSSスケールで6.7を記録しており、検索パスにおける不適切なクォート処理によりEaton UPS Companionソフトウェアに影響します。
ファイルシステムへのアクセスを持つ攻撃者は、この弱点を悪用して任意のコードを実行できる可能性がありますが、通常は高い権限が必要です。
両方の脆弱性はローカル攻撃ベクターを対象としており、一般に攻撃者は標的システムに対して何らかの既存のアクセスを必要とします。
Eaton UPS Companionソフトウェアの3.0未満のすべてのバージョンが、これらのセキュリティ問題の影響を受けます。
Eatonは、両方の欠陥に対処する包括的なパッチを含むバージョン3.0へ直ちにアップグレードすることを、顧客に強く推奨しています。
同社は、潜在的なサプライチェーン攻撃を防ぐため、ソフトウェアはEatonの公式配布チャネルからのみダウンロードするよう強調しています。
直ちにパッチを適用できない組織に対して、Eatonはいくつかの防護策を推奨しています:
追加の技術支援が必要な組織は、Eatonのサイバーセキュリティサービスチームに連絡するか、同社の専用サイバーセキュリティWebサイトを訪れて、包括的なガイダンスおよび詳細なパッチ展開手順を確認できます。