脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
Critical CVSS 9.8 KEV 悪用確認
CVE-2025-67038

Lantronix EDS5000 コマンドインジェクション(root)

CVE IDCVE-2025-67038
製品Lantronix / EDS5000
CVSS9.8(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
種別 (CWE)CWE-78 OS コマンドインジェクション
登録/公開日2026/06/23
KEV 期限2026/06/26 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2025-67038

概要

Lantronix EDS5000(ファームウェア 2.1.0.0R3、EDS5008/5016/5032)の username パラメータがサニタイズなしでコマンドに連結され、root 権限でのコマンドインジェクションを許す脆弱性。デバイスサーバ(シリアル-Ethernet 変換機)であり、修正ファームウェアは Lantronix 公式で要確認。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) 対象外
該当なし(オンプレのデバイスサーバ機器)
EDS5000 は物理ネットワーク機器のため AWS の対象外。ファームウェア更新とネットワーク分離で対応。
参照リンク
GCP 対象外
該当なし(オンプレのデバイスサーバ機器)
GCP の対象外。
参照リンク
Azure 対象外
該当なし(オンプレのデバイスサーバ機器)
Azure の対象外。
参照リンク
Linux ベンダーFW更新
Lantronix 提供のファームウェア更新を適用
組み込み機器のため汎用 Linux ディストリのパッケージ対象外。修正ファームウェアの提供状況は Lantronix 公式で確認中。
参照リンク

解決の方向性(パッチ/回避策/代替)

Lantronix 公式のファームウェア更新/緩和策に従うのが基本。管理ネットワークを分離し、EDS5000 をインターネットに公開しない構成が有効な回避策。修正ファームウェア番号は Lantronix 公式で要確認(現時点で確認中)。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る