公開日:2026/02/12 最終更新日:2026/02/12

JVNVU#91544598
複数のAVEVA製品における複数の脆弱性

概要

AVEVAが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2026-1507

  • PI Data Archive PI Server 2018 SP3 Patch 7およびそれ以前
  • PI Data Archive PI Server 2023
  • PI Data Archive PI Server 2023 Patch 1
  • PI Data Archive PI Server 2024
CVE-2026-1495
  • AVEVA PI to CONNECT Agent v2.4.2520およびそれ以前

詳細情報

AVEVAが提供する複数の製品には、次の複数の脆弱性が存在します。

  • キャッチされない例外(CWE-248)
    • CVE-2026-1507
  • ログファイルからの情報漏えい(CWE-532)
    • CVE-2026-1495

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証されていない攻撃者にサービス運用妨害(DoS)状態にされる(CVE-2026-1507)
  • Event Log Reader(S-1-5-32-573)権限を持つ攻撃者にログファイルからプロキシ情報(URLや認証情報)を取得され、プロキシサーバーに不正アクセスされる(CVE-2026-1495)

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
AVEVA AVEVA-2026-002 | PI Data Archive: Denial Of Service(PDF)
AVEVA-2026-003 | PI to CONNECT Agent: Proxy Details Exposure(PDF)

参考情報

  1. ICS Advisory | ICSA-26-041-03
    AVEVA PI Data Archive
  2. ICS Advisory | ICSA-26-041-04
    AVEVA PI to CONNECT Agent

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia