Eatonは、同社のUPS Companionソフトウェアに存在する複数の高深刻度の脆弱性について、影響を受けるシステム上で攻撃者が任意のコードを実行できる可能性があるとして、ユーザーに警告する重大なセキュリティアドバイザリを発行しました。
電源管理企業である同社は、無停電電源装置(UPS)管理のために当該ソフトウェアを使用している組織に重大なリスクをもたらす、2つの重要なセキュリティ欠陥に対処するパッチを公開しました。
ETN-VA-2025-1026として識別されるこのセキュリティアドバイザリでは、CVSSスコアが高から中程度の深刻度に及ぶ2つの脆弱性が開示されています。
| CVE ID | CVSS v3.1 スコア | 深刻度 | 脆弱性の種類 |
|---|---|---|---|
| CVE-2025-59887 | 8.6 | 高 | 安全でないライブラリ読み込み |
| CVE-2025-59888 | 6.7 | 中 | 不適切なクォーテーション |
1つ目の脆弱性はCVE-2025-59887として追跡されており、CVSS v3.1の基本スコアは8.6で、Eaton IPPソフトウェアインストーラーにおける安全でないライブラリ読み込みに関するものです。
この欠陥により、ソフトウェアパッケージへのアクセスを得た攻撃者が任意のコードを実行できる可能性があります。
この脆弱性が高い深刻度とされるのは、攻撃の複雑性が低いにもかかわらず、機密性・完全性・可用性を侵害し得るためです。
2つ目の欠陥であるCVE-2025-59888は、CVSSスケールで6.7のスコアで、検索パスにおける不適切なクォーテーションによりEaton UPS Companionソフトウェアに影響します。
ファイルシステムへのアクセスを持つ攻撃者は、この弱点を悪用して任意のコード実行を行える可能性がありますが、高い権限レベルが必要です。
両方の脆弱性はローカル攻撃ベクターを対象としており、悪用には通常、標的システムへの何らかのレベルのアクセスが伴います。
3.0より前のすべてのバージョンのEaton UPS Companionソフトウェアが、これらのセキュリティ問題の影響を受けます。
Eatonは、両方の脆弱性に対する包括的なパッチを含むバージョン3.0へ直ちにアップグレードすることを顧客に強く推奨しています。
同社は、サプライチェーン攻撃を防ぐため、ソフトウェアはEatonの公式配布チャネルからのみダウンロードするよう強調しています。
直ちにパッチを適用できない組織に対して、Eatonは、ホストシステムへのアクセスを許可された担当者のみに制限すること、制御システムネットワーク向けにセキュアなファイアウォールを実装すること、そしてソフトウェアが公式チャネルから入手されていることを確実にすることなど、複数の緩和策を推奨しています。
Eaton はまた、制御システムをバリアデバイスの背後に配置し、業務ネットワークから分離して露出を最小化することも推奨しています。
Eatonのサイバーセキュリティチームは、デフォルトパスワードの変更、監査ログの有効化、未使用サービスの無効化、定期的なセキュリティ評価の実施といったセキュリティのベストプラクティスを実装するよう管理者に促しています。
追加の支援が必要な組織は、Eatonのサイバーセキュリティサービスチームに連絡するか、包括的なガイダンスのために同社の専用サイバーセキュリティWebサイトを参照できます。
翻訳元: https://gbhackers.com/eaton-vulnerabilities-allow-attackers-to-execute-arbitrary-code/
