公開日:2025/06/16 最終更新日:2025/06/16

JVNVU#95664084
複数のAVEVA製品における複数の脆弱性

概要

AVEVAが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-44019

  • PI Data Archive バージョン2018 SP3 Patch 4およびそれ以前
  • PI Data Archive バージョン2023
  • PI Data Archive バージョン2023 Patch 1
  • PI Server バージョン2018 SP3 Patch 6およびそれ以前
  • PI Server バージョン2023
  • PI Server バージョン2023 Patch 1
CVE-2025-36539
  • PI Data Archive バージョン2023
  • PI Data Archive バージョン2023 Patch 1
  • PI Server バージョン2023
  • PI Server バージョン2023 Patch 1
CVE-2025-2745
  • PI Web API バージョン2023 SP1およびそれ以前
CVE-2025-4417、CVE-2025-4418
  • PI Connector for CygNet バージョン1.6.14およびそれ以前

詳細情報

AVEVAが提供する複数の製品には、次の複数の脆弱性が存在します。

  • キャッチされない例外(CWE-248)
    • CVE-2025-44019、CVE-2025-36539
  • クロスサイトスクリプティング(CWE-79)
    • CVE-2025-2745、CVE-2025-4417
  • データ完全性の検証不備(CWE-354)
    • CVE-2025-4418

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の認証されたユーザによって、特定のPIデータアーカイブのサブシステムをシャットダウンされ、サービス運用妨害(DoS)状態にされる(CVE-2025-44019、CVE-2025-36539)
  • 遠隔の認証されたユーザによって、任意のJavaScriptコードを保存され、当該製品のユーザによってそのコードを実行される(CVE-2025-2745)
  • ローカルの管理者権限を持つユーザによって、任意のJavaScriptコードを保存され、当該製品のユーザによってそのコードを実行される(CVE-2025-4417)
  • ローカルの管理者権限を持つユーザによって、当該製品のデータファイルを変更され、コネクタサービスをサービス運用妨害(DoS)状態にされる(CVE-2025-4418)

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
AVEVA SECURITY BULLETIN AVEVA-2025-001(PDF)
SECURITY BULLETIN AVEVA-2025-002(PDF)
SECURITY BULLETIN AVEVA-2025-003(PDF)

参考情報

  1. ICS Advisory | ICSA-25-162-07
    AVEVA PI Data Archive
  2. ICS Advisory | ICSA-25-162-08
    AVEVA PI Web API
  3. ICS Advisory | ICSA-25-162-09
    AVEVA PI Connector for CygNet

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia