| CVE ID | CVE-2025-67038 |
|---|---|
| 製品 | Lantronix / EDS5000 |
| CVSS | 9.8(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 種別 (CWE) | CWE-78 OS コマンドインジェクション |
| 登録/公開日 | 2026/06/23 |
| KEV 期限 | 2026/06/26 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従って緩和策を適用(BOD 26-04 準拠) |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2025-67038 |
Lantronix EDS5000(ファームウェア 2.1.0.0R3、EDS5008/5016/5032)の username パラメータがサニタイズなしでコマンドに連結され、root 権限でのコマンドインジェクションを許す脆弱性。デバイスサーバ(シリアル-Ethernet 変換機)であり、修正ファームウェアは Lantronix 公式で要確認。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | 対象外 |
該当なし(オンプレのデバイスサーバ機器)
EDS5000 は物理ネットワーク機器のため AWS の対象外。ファームウェア更新とネットワーク分離で対応。
参照リンク
|
| GCP | 対象外 |
該当なし(オンプレのデバイスサーバ機器)
GCP の対象外。
参照リンク
|
| Azure | 対象外 |
該当なし(オンプレのデバイスサーバ機器)
Azure の対象外。
参照リンク
|
| Linux | ベンダーFW更新 |
Lantronix 提供のファームウェア更新を適用
組み込み機器のため汎用 Linux ディストリのパッケージ対象外。修正ファームウェアの提供状況は Lantronix 公式で確認中。
参照リンク
|
Lantronix 公式のファームウェア更新/緩和策に従うのが基本。管理ネットワークを分離し、EDS5000 をインターネットに公開しない構成が有効な回避策。修正ファームウェア番号は Lantronix 公式で要確認(現時点で確認中)。