概要

電力管理ソリューションを提供するEatonは、同社のUPS Companionソフトウェアに複数の高 severity 脆弱性が存在すると警告するセキュリティアドバイザリを発表しました。これらの脆弱性が悪用された場合、攻撃者によって影響を受けるシステム上で任意コードが実行される可能性があります。Eatonは、UPS Companionソフトウェアのユーザーに対し、バージョン3.0への緊急アップグレードを強く推奨しています。

脆弱性の詳細

セキュリティアドバイザリ「ETN-VA-2025-1026」では、以下の2つの主要な脆弱性が開示されています。

• CVE-2025-59887（CVSS v3.1スコア: 8.6、深刻度: 高）
  これはEaton IPPソフトウェアインストーラーにおける不安全なライブラリ読み込みの脆弱性です。攻撃者がソフトウェアパッケージへのアクセス権を取得した場合、任意コードを実行する可能性があります。この脆弱性は、機密性、完全性、可用性を最小限の攻撃複雑性で危殆化させる可能性があり、高い深刻度と評価されています。
• CVE-2025-59888（CVSS v3.1スコア: 6.7、深刻度: 中）
  Eaton UPS Companionソフトウェアの検索パスにおける不適切な引用符の使用に起因する脆弱性です。ファイルシステムへのアクセス権を持つ攻撃者は、この脆弱性を悪用して任意コードを実行できますが、これには高レベルの特権が必要です。

両脆弱性ともにローカル攻撃ベクトルを標的としており、通常、エクスプロイトには標的システムへの何らかのアクセスが必要となります。

影響を受ける製品と推奨される対策

これらのセキュリティ問題の影響を受けるのは、バージョン3.0より前のすべてのEaton UPS Companionソフトウェアです。Eatonは、ユーザーが直ちにバージョン3.0へアップグレードすることを強く推奨しています。バージョン3.0には、これら両脆弱性に対する包括的なパッチが含まれています。

また、Eatonはサプライチェーン攻撃を防ぐため、ソフトウェアはEatonの公式配布チャネルからのみダウンロードするよう強調しています。

一時的な緩和策とセキュリティベストプラクティス

直ちにパッチを適用できない組織に対して、Eatonはいくつかの緩和策を推奨しています。

• ホストシステムへのアクセスを許可された担当者のみに制限する。
• 制御システムネットワークには安全なファイアウォールを実装する。
• 制御システムをバリアデバイスの背後に配置し、ビジネスネットワークから分離して露出を最小限に抑える。

Eatonのサイバーセキュリティチームは、以下のセキュリティベストプラクティスの実施も促しています。

• デフォルトパスワードの変更
• 監査ログの有効化
• 未使用サービスの無効化
• 定期的なセキュリティ評価の実施

追加のサポートが必要な場合は、Eatonのサイバーセキュリティサービスチームに連絡するか、同社の専用サイバーセキュリティウェブサイトを参照してください。

---

元記事: https://gbhackers.com/eaton-vulnerabilities-allow-attackers-to-execute-arbitrary-code/