JVNVU#90523414
AutomationDirect製Productivity Suiteにおける複数の脆弱性

AutomationDirectが提供するProductivity Suiteには、複数の脆弱性が存在します。

• Productivity Suite v4.4.1.19 およびそれ以前のバージョン
• Productivity 3000 P3-622 CPU SW v4.4.1.19 およびそれ以前のバージョン
• Productivity 3000 P3-550E CPU SW v4.4.1.19 およびそれ以前のバージョン
• Productivity 3000 P3-530 CPU SW v4.4.1.19 およびそれ以前のバージョン
• Productivity 2000 P2-622 CPU SW v4.4.1.19 およびそれ以前のバージョン
• Productivity 2000 P2-550 CPU SW v4.4.1.19 およびそれ以前のバージョン
• Productivity 1000 P1-550 CPU SW v4.4.1.19 およびそれ以前のバージョン
• Productivity 1000 P1-540 CPU SW v4.4.1.19 およびそれ以前のバージョン

AutomationDirectが提供するProductivity Suiteには、次の複数の脆弱性が存在します。

• 相対パストラバーサル（CWE-23）
  • CVE-2025-62498、CVE-2025-58456、CVE-2025-58078、CVE-2025-58429、CVE-2025-59776、CVE-2025-60023
• パスワードを忘れた場合の脆弱なパスワードリカバリの仕組み（CWE-640）
  • CVE-2025-61977
• 重要なリソースに対する不適切なアクセス権の割り当て（CWE-732）
  • CVE-2025-62688
• IPアドレス0.0.0.0へのバインド（CWE-1327）
  • CVE-2025-61934

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• プロダクティビティプロジェクトを改ざんされた場合、そのプロジェクトが開かれたマシン上で任意のコードを実行される（CVE-2025-62498）
• 1つの回復の質問に答えるだけで、暗号化されたプロジェクトを復号化される（CVE-2025-61977）
• 低権限の認証情報を持つ攻撃者によって自身の役割を変更され、プロジェクトへの完全な制御アクセス権を取得される（CVE-2025-62688）
• 遠隔の攻撃者によってマシン上の任意のファイルやフォルダーを読み取り、書き込み、または削除される（CVE-2025-61934）
• 遠隔の攻撃者によってマシン上の任意のファイルを読み取られる（CVE-2025-58456）
• 遠隔の攻撃者によってマシン上のファイルに任意のデータを書き込まれる（CVE-2025-58078）
• 遠隔の攻撃者によってマシン上の任意のファイルを削除される（CVE-2025-58429）
• 遠隔の攻撃者によってマシン上に任意のディレクトリを作成される（CVE-2025-59776）
• 遠隔の攻撃者によってマシン上の任意のディレクトリを削除される（CVE-2025-60023）

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。