公開日:2025/11/14 最終更新日:2025/11/14

JVNVU#95624366
複数のAVEVA製品における複数の脆弱性

概要

AVEVAが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-8386

  • Application Server バージョン 2023 R2 SP1 P02およびそれ以前
CVE-2025-9317
  • Edge バージョン 2023 R2およびそれ以前

詳細情報

AVEVAが提供する複数の製品には、次の複数の脆弱性が存在します。

  • べ―シッククロスサイトスクリプティング(CWE-80)
    • CVE-2025-8386
  • 解読される恐れの高い暗号アルゴリズムの使用(CWE-327)
    • CVE-2025-9317

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • aaConfigTools権限を持つ攻撃者によって、ヘルプファイルを改ざんされ、格納型クロスサイトスクリプティング攻撃に悪用される(CVE-2025-8386)
  • EdgeプロジェクトファイルやEdgeオフィスキャッシュファイルの読み取りが可能な攻撃者によって、Edgeユーザーアプリ固有のパスワードやアクティブディレクトリのパスワードを取得される(CVE-2025-9317)

対策方法

アップデートする
開発者が提供する情報をもとに、ソフトウェアを最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
AVEVA AVEVA-2025-005 | AVEVA Application Server IDE: Persistent Cross Site Scripting Vulnerability(PDF)
AVEVA-2025-006 | AVEVA Edge (formerly InduSoft Web Studio): Use of Risky Hashing Algorithms(PDF)

参考情報

  1. ICS Advisory | ICSA-25-317-02
    AVEVA Application Server IDE
  2. ICS Advisory | ICSA-25-317-03
    AVEVA Edge

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia