JVN#84024274:ABB Terra AC Wallbox 的多个漏洞
发布日期: 2025年12月5日 最后更新: 2025年12月5日
概述 ABB提供的Terra AC Wallbox存在多个漏洞。
受影响产品
- Terra AC wallbox (日本版) 1.8.33及更早版本
漏洞描述 ABB提供的Terra AC Wallbox存在以下漏洞。
基于堆的缓冲区溢出 (CWE-122)
- CVSS:4.0评分: AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N 基础得分 6.9
- CVSS:3.0评分: AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H 基础得分 6.1
- CVE编号: CVE-2025-10504
经典缓冲区溢出 (CWE-120)
- CVSS:4.0评分: AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N 基础得分 6.9
- CVSS:3.0评分: AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H 基础得分 6.1
- CVE编号: CVE-2025-12142
基于栈的缓冲区溢出 (CWE-121)
- CVSS:4.0评分: AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N 基础得分 6.9
- CVSS:3.0评分: AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H 基础得分 6.1
- CVE编号: CVE-2025-12143
影响
- 当受影响设备处理攻击者通过蓝牙发送的特制消息时,可能导致代码执行或固件行为被篡改(涉及CVE-2025-10504, CVE-2025-12142)。
- 当受影响设备处理攻击者从OCPP服务器发送的特制请求时,可能导致代码执行或固件行为被篡改(涉及CVE-2025-12143)。
解决方案 更新固件 根据开发者提供的信息,将固件升级至最新版本。
供应商状态
| 供应商 | 链接 |
|---|---|
| ABB | Terra AC wallbox 堆内存损坏漏洞 (PDF) |
参考信息
- JPCERT/CC 附录
- JPCERT/CC 的漏洞分析
致谢
- 松下公司的Ryo Kato向IPA报告了此漏洞。
- JPCERT/CC在信息安全早期预警伙伴关系框架下与开发者进行了协调。
其他信息
- JPCERT 警报
- JPCERT 报告
- CERT 公告
- CPNI 公告
- TRnotes
- CVE
- JVN iPedia: JVNDB-2025-000094