公開日:2025/07/09 最終更新日:2025/07/09

JVNVU#94611939
Emerson製ValveLinkにおける複数の脆弱性

概要

Emersonが提供するValveLink製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • ValveLink SOLO ValveLink 14.0より前のバージョン
  • ValveLink DTM ValveLink 14.0より前のバージョン
  • ValveLink PRM ValveLink 14.0より前のバージョン
  • ValveLink SNAP-ON ValveLink 14.0より前のバージョン

詳細情報

Emersonが提供するValveLink製品には、次の複数の脆弱性が存在します。

  • 重要な情報のメモリへの平文保存(CWE-316)
    • CVE-2025-52579、CVE-2025-50109
  • 保護メカニズムが不適切(CWE-693)
    • CVE-2025-46358
  • ファイル検索パスの制御不備(CWE-427)
    • CVE-2025-48496
  • 不適切な入力検証(CWE-20)
    • CVE-2025-53471

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 機微な情報が平文のままディスクやコアダンプに保存される(CVE-2025-52579)
  • 他の制御領域からアクセス可能なリソース内に、機微な情報が平文で保存される(CVE-2025-50109)
  • 当該機器への攻撃に対する保護メカニズムを使用しない、あるいは不適切に使用する(CVE-2025-46358)
  • リソースを検索する際、意図しないユーザの制御下にあるパスを使用する(CVE-2025-48496)
  • 入力やデータにこれらを正確に処理するために必要な特性が含まれているかを検証をしない、あるいは不適切に検証する(CVE-2025-53471)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Emerson Electric Co. Software Downloads & Drivers

参考情報

  1. ICS Advisory | ICSA-25-189-01
    Emerson ValveLink Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia