公開日:2025/03/25 最終更新日:2025/03/25

JVN#26321838
AssetViewにおける複数の脆弱性

概要

株式会社ハンモックが提供するAssetViewには、複数の脆弱性が存在します。

影響を受けるシステム

  • AssetView Ver 13.2.4.3408 (13.2.4O)より前のバージョン
  • AssetView CLOUD
    • Ver 13.2.4.3408 (13.2.4O)より前のバージョン
    • Ver 13.3.4.3004 (13.3.4K)より前のバージョン
なお、AssetView Cloud +は本脆弱性の影響を受けません。

詳細情報

株式会社ハンモックが提供するAssetViewには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如(CWE-306
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値 8.2
    • CVE-2025-25060
  • 開発者への送信データからの機微な情報の取得(CWE-201
    • CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 5.9
    • CVE-2025-27244
    • 当該製品と開発者間の通信を読み取ることのできる攻撃者によって、中間者攻撃(man-in-the-middle attack)が行われる攻撃シナリオを想定しています。

想定される影響

想定される影響は各脆弱性により異なりますが、遠隔の第三者によって次のような影響を受ける可能性があります。

  • サーバ内のファイルが漏えいしたり、ファイルを削除されたりする(CVE-2025-25060)
  • 機微な情報が取得される(CVE-2025-27244)

対策方法

アップデートする
AssetView:
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
AssetView Ver 13.2.0より前のバージョンを使用している場合は、開発者のサポートグループに問い合わせてください。

AssetView CLOUD:
開発者のサポートグループに問い合わせてください。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
株式会社ハンモック AssetViewにおける2件の脆弱性
AssetView 2件の脆弱性対応(JVN#26321838)(要ログイン)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ベリサーブ 近藤 隆雄 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-25060
CVE-2025-27244
JVN iPedia JVNDB-2025-000019