つみかさね

CVE-2025-54807

Critical(9.8)

CVE-2025-54807 — Dover ProGauge MagLink LX 4 認証トークン署名鍵のハードコード

公開日: 2026-06-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ProGauge MagLink LX 4Dover Fueling SolutionsICSA-25-261-07 対象バージョン

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1ProGauge MagLink LX 4 の導入有無を確認する
  2. 2CISA アドバイザリ ICSA-25-261-07 を確認し影響バージョンに該当するか判断する
  3. 3ベンダー提供のファームウェアアップデートを適用する
  4. 4アップデートまでの間、デバイスのネットワーク接続を制限する

影響対象

ProGauge MagLink LX 4 利用施設(ガソリンスタンド等の燃料管理施設)

補足

  • -ICS機器のため、アップデート前に運用影響を確認すること
CVEICSOTDoverProGauge燃料管理ハードコード認証情報CISA

概要

Dover Fueling Solutions 製の燃料タンクゲージコンソール「ProGauge MagLink LX 4」のファームウェアに、認証トークンの検証に使用される秘密鍵がハードコードされている脆弱性です(CWE-321)。

攻撃者が当該署名鍵を取得した場合、正規ユーザーの認証情報なしで任意の認証済みリクエストを偽造でき、システムへの完全なアクセスが可能となります。

本製品はガソリンスタンドや給油施設における自動タンクゲージ(ATG)システムとして使用されており、ICS(産業制御システム)への影響が懸念されます。CISA の ICS セキュリティアドバイザリ(ICSA-25-261-07)として公開されています。

CVSSベクトル

項目
CVSS バージョン3.1
攻撃経路(AV)ネットワーク
攻撃の複雑さ(AC)
必要な権限(PR)不要
ユーザーインタラクション(UI)不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
ProGauge MagLink LX 4Dover Fueling SolutionsCISA ICS アドバイザリ ICSA-25-261-07 対象バージョン

修正バージョンと回避策

対策: CISA ICS アドバイザリ ICSA-25-261-07 に記載されたベンダー提供のファームウェアアップデートを適用してください。

ネットワーク分離対策(アップデートが困難な場合):

  1. デバイスをインターネットから切り離す
  2. ファイアウォールで管理インターフェースへのアクセスを制限する
  3. CISA の ICS セキュリティ推奨事項(Defense-in-Depth)に従う

関連リンク

データソース: NVD (NIST), CISA ICS Advisory AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2017-6034Schneider Electric Modicon Modbus 認証バイパスCVSS 9.8

参考リンク

CISA ICS Advisory:https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-07
NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-54807
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。