公開日:2026/02/27 最終更新日:2026/02/27

JVNVU#91929515
Copeland製XWEB PROにおける複数の脆弱性

概要

Copelandが提供するXWEB PROには、複数の脆弱性が存在します。

影響を受けるシステム

  • XWEB 300D PRO 1.12.1およびそれ以前のバージョン
  • XWEB 500D PRO 1.12.1およびそれ以前のバージョン
  • XWEB 500B PRO 1.12.1およびそれ以前のバージョン

詳細情報

Copelandが提供するXWEB PROには、次の複数の脆弱性が存在します。

  • 予期しないステータスコードや戻り値に対する不適切な確認 (CWE-394)
    • CVE-2026-25085
  • 解読される恐れの高い暗号アルゴリズムの使用(CWE-327)
    • CVE-2026-21718
  • OSコマンドインジェクション(CWE-78)
    • CVE-2026-24663、CVE-2026-21389、CVE-2026-25111、CVE-2026-20742、CVE-2026-24517、CVE-2026-25195、CVE-2026-20910、CVE-2026-24689、CVE-2026-25109、CVE-2026-20902、CVE-2026-24695、CVE-2026-25105、CVE-2026-24452、CVE-2026-23702、CVE-2026-25721、CVE-2026-20764、CVE-2026-25196、CVE-2026-25037、CVE-2026-3037
  • パストラバーサル(CWE-22)
    • CVE-2026-22877
  • スタックベースのバッファオーバーフロー(CWE-121)
    • CVE-2026-20797

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証をバイパスされる(CVE-2026-25085)
  • 認証をバイパスされ、システム上でコードを実行される(CVE-2026-21718)
  • システム上でリモートコードを実行される(CVE-2026-24663、CVE-2026-21389、CVE-2026-25111、CVE-2026-20742、CVE-2026-24517、CVE-2026-25195、CVE-2026-20910、CVE-2026-24689、CVE-2026-25109、CVE-2026-20902、CVE-2026-24695、CVE-2026-25105、CVE-2026-24452、CVE-2026-23702、CVE-2026-25721、CVE-2026-20764、CVE-2026-25196、CVE-2026-25037、CVE-2026-3037)
  • システム上の任意のファイルを読み取られたり、サービス運用妨害(DoS)状態を引き起こされたりする(CVE-2026-22877)
  • スタック破損を引き起こされたり、プログラムを終了させられたりする(CVE-2026-20797)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、ICS Advisoryおよび開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Copeland System Software Updates

参考情報

  1. ICS Advisory | ICSA-26-057-10
    Copeland XWEB and XWEB Pro

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia