公開日:2025/07/16 最終更新日:2025/07/16

JVNVU#93628914
複数のHitachi Energy製品における複数の脆弱性

概要

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-1484

  • Asset Suite バージョン9.6.4.4
CVE-2025-2500
  • Asset Suite バージョン9.6.4.4
  • Asset Suite バージョン9.7
CVE-2019-9262、CVE-2019-9429、CVE-2019-9256、CVE-2019-9290
  • Asset Suite AnyWhere for Inventory (AWI) Android mobile app バージョン11.5 (awi_11.5_armv7) およびそれ以前

詳細情報

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不完全なブラックリスト(CWE-184)
    • CVE-2025-1484
  • 平文でパスワードを保存(CWE-256)
    • CVE-2025-2500
  • 境界外書き込み(CWE-787)
    • CVE-2019-9262、CVE-2019-9429、CVE-2019-9256
  • メモリ解放用関数の正しくない使用(CWE-763)
    • CVE-2019-9290

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ユーザーのブラウザ内で、ユーザーとアプリケーションの確立したセッションのコンテキストでJavaScriptコードを実行される(CVE-2025-1484)
  • 当該製品にアクセスされ、パスワード攻撃が可能な時間枠を拡大される(CVE-2025-2500)
  • リモートコードを実行される(CVE-2019-9262、CVE-2019-9256)
  • 権限を昇格される(CVE-2019-9429、CVE-2019-9290)

対策方法

CVE-2025-1484
アップデートする
開発者は、アップデートを提供しています。

CVE-2025-2500、CVE-2019-9262、CVE-2019-9429、CVE-2019-9256、CVE-2019-9290
ワークアラウンドを実施する
開発者は、一般的な軽減策/回避策の適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Hitachi Energy 8DBD000212 | Cross-Site Scripting & Mobile Application Vulnerabilities in Hitachi Energy’s Asset Suite Product(PDF)

参考情報

  1. ICS Advisory | ICSA-25-196-01
    Hitachi Energy Asset Suite

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia