製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Espressif SystemsのESP-IDFにおける複数の脆弱性

タイトル	Espressif SystemsのESP-IDFにおける複数の脆弱性
概要	ESF-IDFはEspressifのInternet of Things（IoT）開発フレームワークです。バージョン5.5.4および6.0において、esp_teeコンポーネントはesp_secure_services.cおよびesp_secure_services_iram.c内でセキュアサービスラッパーを公開しています。これはユーザーアプリケーション（すなわちREE）からTEEで保護されたハードウェア周辺機器（AES、SHA、ECC、HMAC、SPI、MMU、WDT）および証明、OTAアップデート、セキュアストレージといったセキュリティ機能への呼び出しを橋渡ししています。この問題はバージョン5.5.5および6.0.1で修正されました。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月10日0:00
登録日	2026年6月12日14:51
最終更新日	2026年6月12日14:51

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

影響を受けるシステム

Espressif Systems

ESP-IDF 5.5.4

ESP-IDF 6.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45328	https://www.cve.org/CVERecord?id=CVE-2026-45328
National Vulnerability Database (NVD)
2	CVE-2026-45328	https://nvd.nist.gov/vuln/detail/CVE-2026-45328

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-787	https://cwe.mitre.org/data/definitions/787.html

ベンダー情報

No	名前	URL
GitHub
1	Out-of-Bounds Write in ESP-TEE Secure Service Wrappers Advisory espressif/esp-idf GitHub	https://github.com/espressif/esp-idf/security/advisories/GHSA-mmgp-73p4-92xp

その他

No	名前	URL
関連文書
1	change(esp_tee): Move the internal memory secure service call table t… espressif/esp-idf@440a5d1 GitHub	https://github.com/espressif/esp-idf/commit/440a5d1906502023f2a0fb0aecbdf0602d14acbf
2	change(esp_tee): Move the internal memory secure service call table t… espressif/esp-idf@764626a GitHub	https://github.com/espressif/esp-idf/commit/764626a1b7c85b943d207da08a2f8f7d7f3def4d
3	change(esp_tee): Move the internal memory secure service call table t… espressif/esp-idf@afd14ab GitHub	https://github.com/espressif/esp-idf/commit/afd14ab113acd0ca369965404c99ac42e74d4fcd
4	fix(esp_tee): Add missing input validation checks for TEE service calls espressif/esp-idf@145ba4c GitHub	https://github.com/espressif/esp-idf/commit/145ba4c42dc8283054cfde9a1c3470db7399192f
5	fix(esp_tee): Add missing input validation checks for TEE service calls espressif/esp-idf@7867f4a GitHub	https://github.com/espressif/esp-idf/commit/7867f4a57560bf9fc4a931e37ba02b7a3e9f406b
6	fix(esp_tee): Add missing input validation checks for TEE service calls espressif/esp-idf@eebabaf GitHub	https://github.com/espressif/esp-idf/commit/eebabaff2fdc273b1530fe66e55fb3bcd181dfd6

変更履歴

No	変更内容	変更日
1	[2026年06月12日] 掲載	2026年6月12日14:51

NVD脆弱性情報

CVE-2026-45328

概要	ESF-IDF is the Espressif Internet of Things (IOT) Development Framework. In versions 5.5.4 and 6.0, the esp_tee component exposes secure-service wrappers in esp_secure_services.c and esp_secure_services_iram.c that bridge calls from the user application (i.e. the REE) to TEE-protected hardware peripherals (AES, SHA, ECC, HMAC, SPI, MMU, WDT) and to the security feature like attestation, OTA updates, secure storage. This issue has been patched in versions 5.5.5 and 6.0.1.
公表日	2026年6月10日11:16
登録日	2026年6月11日4:16
最終更新日	2026年6月12日3:15

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:espressif:esp-idf:5.5.4:::::::*
cpe:2.3:a:espressif:esp-idf:6.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/espressif/esp-idf/commit/145ba4c42dc8283054cfde9a1c3470db7399192f	security-advisories@github.com
2	https://github.com/espressif/esp-idf/commit/440a5d1906502023f2a0fb0aecbdf0602d14acbf	security-advisories@github.com
3	https://github.com/espressif/esp-idf/commit/764626a1b7c85b943d207da08a2f8f7d7f3def4d	security-advisories@github.com
4	https://github.com/espressif/esp-idf/commit/7867f4a57560bf9fc4a931e37ba02b7a3e9f406b	security-advisories@github.com
5	https://github.com/espressif/esp-idf/commit/afd14ab113acd0ca369965404c99ac42e74d4fcd	security-advisories@github.com
6	https://github.com/espressif/esp-idf/commit/eebabaff2fdc273b1530fe66e55fb3bcd181dfd6	security-advisories@github.com
7	https://github.com/espressif/esp-idf/security/advisories/GHSA-mmgp-73p4-92xp	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-787	境界外書き込み	https://cwe.mitre.org/data/definitions/787.html