JVN#30641875
BizRobo!における複数の脆弱性

オープン株式会社が提供するBizRobo!には、複数の脆弱性が存在します。

CVE-2025-31362、CVE-2025-31932

• BizRobo! すべてのバージョン

• BizRobo! v11.1およびそれ以前のバージョン

BizRobo!は、​オープン株式会社が提供するRPA（Robotic Process Automation）製品です。ユーザーは、Windows上で動作する開発用アプリケーションDesignStudioで自動化フロー​を作成してロボットファイルに保存します。作成したロボットファイルはWebアプリケーションManagement Consoleにアップロードし、RPAの実行スケジュールを組んだり実行ログを確認したりします。

BizRobo!には、次の複数の脆弱性が存在します。

• ハードコードされた暗号鍵の使用（CWE-321）
  • CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 3.7
  • CVE-2025-31362
  • ロボットファイルにはアクセス先のサイトに用いる認証情報を持たせることが可能です。この場合、認証情報は暗号化されますが、暗号化には固定の鍵が使われています。
• インポート機能における信頼できないデータのデシリアライゼーション（CWE-502）
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
  • CVE-2013-7285
  • Management Consoleには古いバージョンのXstreamライブラリが使われており、信頼できないデータのデシリアライゼーションに関する脆弱性が存在します。
• Design Studioライセンス認証における信頼できないデータのデシリアライゼーション（CWE-502）
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
  • CVE-2025-31932
  • Management ConsoleにはDesign Studioのライセンス認証機能も含まれていますが、この機能には、信頼できないデータのデシリアライゼーションに関する脆弱性が存在します。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 暗号化用の鍵を知っている者によってロボットファイルに含まれている認証情報を窃取される（CVE-2025-31362）
• Management Console上で任意のコードを実行される（CVE-2013-7285、CVE-2025-31932）

CVE-2025-31362、CVE-2025-31932
ワークアラウンドを実施する
開発者が提供する情報をもとに、緩和策を実施してください。

CVE-2013-7285
アップデートまたはワークアラウンドを実施する
影響を受けるバージョンの修正サポート期間が終了しているため、開発者はバージョンアップを推奨しています。
バージョンアップが難しい場合は、緩和策の実施を推奨しています。

詳細は、開発者が提供する情報を確認してください。