JVNVU#90597152
Ilevia製EVE X1における複数の脆弱性

Ileviaが提供するEVE X1には、複数の脆弱性が存在します。

• EVE X1 4.7.18.0およびそれ以前のバージョン

Ileviaが提供するEVE X1には、次の複数の脆弱性が存在します。

• パストラバーサル（CWE-22）
  • CVE-2025-34185、CVE-2025-34517、CVE-2025-34518
• OSコマンドインジェクション（CWE-78）
  • CVE-2025-34184、CVE-2025-34186、CVE-2025-34187、CVE-2025-34513
• ログファイルからの情報漏えい（CWE-532）
  • CVE-2025-34183
• クロスサイトスクリプティング（CWE-79）
  • CVE-2025-34512

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の攻撃者によってサーバーから任意のファイルを取得され、機微な情報や認証情報を漏えいされる（CVE-2025-34185）
• 遠隔の攻撃者によって任意のシステムコマンドを実行され、結果として運用妨害（DoS）状態にされる（CVE-2025-34184）
• 遠隔の攻撃者によって認証情報を取得され、システムを侵害される（CVE-2025-34183）
• 遠隔の攻撃者によって認証を回避され、システムへの完全なアクセスを取得される（CVE-2025-34186）
• 遠隔の攻撃者によってrootへ権限昇格され、システムを侵害される（CVE-2025-34187）
• 攻撃者によって任意のファイルを読み取られる（CVE-2025-34517、CVE-2025-34518）
• 攻撃者によって任意のコードを実行される（CVE-2025-34512、CVE-2025-34513）

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、ICS Advisoryおよび開発者が提供する情報を確認してください。