JVNVU#92115455
AutomationDirect製CLICK PLUSにおける複数の脆弱性

AutomationDirectが提供するCLICK PLUSには、複数の脆弱性が存在します。

• CLICK PLUS C0-0x CPUファームウェア v3.71より前のバージョン
• CLICK PLUS C0-1x CPUファームウェア v3.71より前のバージョン
• CLICK PLUS C2-x CPUファームウェア v3.71より前のバージョン

AutomationDirectが提供するCLICK PLUSには、次の複数の脆弱性が存在します。

• 重要な情報の平文保存（CWE-312）
  • CVE-2025-54855
• ハードコードされた暗号鍵の使用（CWE-321）
  • CVE-2025-58069
• 解読される恐れの高い暗号アルゴリズムの使用（CWE-327）
  • CVE-2025-59484
• 疑似乱数生成器における予測可能なシード（CWE-337）
  • CVE-2025-55069
• リソースの不適切なシャットダウンまたはリリース（CWE-404）
  • CVE-2025-58473、CVE-2025-57882
• 権限チェックの欠如（CWE-862）
  • CVE-2025-55038

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• ファイルシステムへのアクセス権を持つローカルのユーザーによって、平文で保存された認証情報を取得される（CVE-2025-54855）
• ハードコード化されたAES鍵を取得される（CVE-2025-58069）
• RSA 暗号化アルゴリズムを解読される（CVE-2025-59484）
• 生成される秘密鍵のセキュリティを侵害される（CVE-2025-55069）
• 攻撃者によって利用可能なすべてのデバイスセッションを使い果たされ、サービス運用妨害（DoS）状態にされる（CVE-2025-58473、CVE-2025-57882）
• 低権限ユーザーによって、権限レベルを超えてPLC変数を読み取られたり変更されたりする（CVE-2025-55038）

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。