JVNVU#95731755
複数のRockwell Automation製品における複数の脆弱性

Rockwell Automationが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2025-11862

• Verve Asset Manager バージョン 1.33、1.34、1.35、1.36、1.37、1.38、1.39、1.40、1.41、1.41.1、1.41.2、1.41.3

• Studio 5000 Simulation Interface バージョン 2.02およびそれ以前

• FactoryTalk DataMosaix Private Cloud バージョン 7.11、8.00、8.01

• FactoryTalk DataMosaix Private Cloud バージョン 7.11、8.00

• FactoryTalk Policy Manager バージョン 6.51.00 およびそれ以前

• AADvance - Trusted SIS Workstation バージョン 2.00.00から2.00.04

Rockwell Automationが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不適切な権限チェック（CWE-863）
  • CVE-2025-11862
• パストラバーサル（CWE-22）
  • CVE-2025-11697、CVE-2024-48510
• サーバサイドリクエストフォージェリ（CWE-918）
  • CVE-2025-11696
• 弱い認証（CWE-1390）
  • CVE-2025-11084
• 出力に対する不適切なエンコード処理もしくはエスケープ処理（CWE-116）
  • CVE-2025-11085
• リソースの不適切なリリース（CWE-404）
  • CVE-2024-22019

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 読み取り専用ユーザーによってAPI経由でユーザー情報を閲覧、更新、削除される（CVE-2025-11862）
• システム上のWindowsユーザーによってファイルを抽出され、システムの再起動時に管理者権限でスクリプトを実行される（CVE-2025-11697）
• システム上のWindowsユーザーによってNTLMハッシュをキャプチャされる（CVE-2025-11696）
• 多要素認証（MFA）をバイパスされ、有効なログイントークンクッキーを取得される（CVE-2025-11084）
• 細工されたJavaScriptを実行され、アカウントの乗っ取り、認証情報の取得、または悪意のあるウェブサイトへリダイレクトされる（CVE-2025-11085）
• 細工されたHTTPリクエストによって、リソース枯渇およびサービス運用妨害（DoS）状態を引き起こされる（CVE-2024-22019）
• 細工されたファイルを開くことによって、任意のコードを実行される（CVE-2024-48510）

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。