JVN#75140384: SNC-CX600W中的多个漏洞
发布时间: 2025年11月25日 最后更新: 2025年11月25日
JVN编号 JVN#75140384 SNC-CX600W中的多个漏洞
概述 索尼公司提供的SNC-CX600W存在多个漏洞。
受影响的产品
- CVE-2025-62497 SNC-CX600W版本早于Ver.2.8.0
- CVE-2025-64730 SNC-CX600W所有版本
漏洞描述 索尼公司提供的SNC-CX600W存在以下多个漏洞。
- 跨站请求伪造 (CWE-352) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基础得分 2.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 基础得分 3.1 CVE-2025-62497
- 跨站脚本 (CWE-79) CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基础得分 4.8 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基础得分 5.2 CVE-2025-64730
影响
- 如果登录用户访问了特制的网页,可能会执行非预期的操作。(CVE-2025-62497)
- 在访问该产品的用户的Web浏览器上可能会执行任意脚本。(CVE-2025-64730)
解决方案
- CVE-2025-62497 更新固件 根据开发商提供的信息,将固件更新到最新版本。
- CVE-2025-64730
应用缓解措施
开发商表示,应用以下缓解措施可能会减轻此漏洞的影响。
- 更改默认的管理员登录凭据并进行适当管理。
- 启用HTTPS并使用加密通信。
- 完成管理操作后立即注销并关闭浏览器。
厂商状态
| 厂商 | 链接 |
|---|---|
| 索尼公司 | SNC-CX600W支持页面 |
参考信息
- JPCERT/CC附录
- JPCERT/CC的漏洞分析
致谢 以下人员向IPA报告了这些漏洞。JPCERT/CC根据信息安全早期预警伙伴关系与开发商进行了协调。
- CVE-2025-62497 报告者:横滨国立大学的Junnosuke Kushibiki, Ryota Honda, Akihito Takeuchi, Daichi Uezono, Ryu Kuki, Takayuki Sasaki, Katsunari Yoshioka。
- CVE-2025-64730 报告者:横滨国立大学的Akihito Takeuchi, Daichi Uezono, Ryota Honda, Junnosuke Kushibiki, Ryu Kuki, Takayuki Sasaki, Katsunari Yoshioka。
其他信息
- JPCERT Alert
- JPCERT Reports
- CERT Advisory
- CPNI Advisory
- TRnotes
- CVE
- CVE-2025-62497
- CVE-2025-64730
- JVN iPedia JVNDB-2025-000109