JVNVU#97860540
横河電機製FAST/TOOLSにおける複数の脆弱性

横河電機製FAST/TOOLSには、複数の脆弱性が存在します。

• FAST/TOOLS
  • パッケージ：RVSVRN、UNSVRN、HMIWEB、FTEES、HMIMOB
    • バージョン：R9.01からR10.04まで

横河電機株式会社が提供するFAST/TOOLSには、次の複数の脆弱性が存在します。

• エラーメッセージによる情報漏えい（CWE-209）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
  • CVE: CVE-2025-66594
• クロスサイトリクエストフォージェリ（CWE-352）
  • CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 6.3
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値 5.3
  • CVE-2025-66595
• オープンリダイレクト（CWE-601）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N 基本値 5.8
  • CVE: CVE-2025-66596
• 不完全、または危険な暗号アルゴリズムの使用（CWE-327）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 8.8
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値 8.2
  • CVE: CVE-2025-66597
• 不完全、または危険な暗号アルゴリズムの使用（CWE-327）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 7.1
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N 基本値 7.1
  • CVE: CVE-2025-66598
• 認可されていない制御領域への重要情報の漏えい（CWE-497）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
  • CVE-2025-66599
• 不適切に実装されたセキュリティチェック（CWE-358）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 8.8
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値 8.2
  • CVE-2025-66600
• 不適切に実装されたセキュリティチェック（CWE-358）
  • CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 6.3
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値 6.5
  • CVE-2025-66601
• 認証時のIPアドレスへの依存（CWE-291）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
  • CVE-2025-66602
• 不適切に実装されたセキュリティチェック（CWE-358）
  • CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 2.1
  • CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値 3.1
  • CVE-2025-66603
• 重要な情報の平文での送信（CWE-319）
  • CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 2.1
  • CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値 3.1
  • CVE-2025-66604
• 認可されていない行為者への個人情報の漏洩（CWE-359）
  • CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 2.1
  • CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値 3.1
  • CVE-2025-66605
• Webページ内の識別子における無効な文字の不適切な無害化（CWE-86）
  • CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N 基本値 2.1
  • CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N 基本値 3.4
  • CVE-2025-66606
• 不適切に実装されたセキュリティチェック（CWE-358）
  • CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 6.3
  • CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値 3.7
  • CVE-2025-66607
• パストラバーサル（CWE-29）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
  • CVE-2025-66608

想定される影響は、各脆弱性により異なりますが、次のような可能性があります。

CVE-2025-66594
エラーページに表示されたメッセージの情報を他の攻撃に悪用される可能性があります。

CVE-2025-66595
攻撃者により細工されたリンクにユーザがアクセスした場合、アカウントがなりすまされる可能性があります。

CVE-2025-66596
攻撃者によって無効なホストヘッダーが挿入された場合、不正なホストへリダイレクトされる可能性があります。

CVE-2025-66597
弱い暗号アルゴリズムが使用可能であるため、攻撃者によってWebサーバーとの通信を解読される可能性があります。

CVE-2025-66598
古いSSL/TLSバージョンが使用可能であるため、攻撃者によってWebサーバーとの通信を解読される可能性があります。

CVE-2025-66599
Webページに表示された物理パスを他の攻撃に悪用される可能性があります。

CVE-2025-66600
攻撃者によって中間者攻撃（Man-in-the-Middle Attack）が行われた場合、Webサーバーとの通信内容を窃取される可能性があります。

CVE-2025-66601
攻撃者によってContent Sniffing攻撃が行われた場合、不正なスクリプトを実行される可能性があります。

CVE-2025-66602
WebサーバーがIPアドレスによるアクセスを受け付けるため、ランダムなIPアドレスでWebサーバーを探すマルウェアにネットワーク内へ侵入される可能性があります。

CVE-2025-66603
Webサーバーが受け付けたOPTIONSメソッドセージの情報を、他の攻撃に悪用される可能性があります。

CVE-2025-66604
Webページに表示されたライブラリのバージョン情報を、他の攻撃に悪用される可能性があります。

CVE-2025-66605
WebページにAutocomplete属性を有効にしている入力項目がり、ブラウザに入力内容が保存される可能性があります。

CVE-2025-66606
URLのエンコード処理が不十分であるため、Webページの改ざんや不正なスクリプトを実行される可能性があります。

CVE-2025-66607
レスポンスヘッダーにセキュアでない設定があるため、攻撃者により不正なサイトへ誘導される可能性があります。

CVE-2025-66608
URLの検証が不十分であるため、攻撃者により細工されたリクエストを受信した場合、Webサーバー内のファイルを窃取される可能性があります。

詳しくは、開発者が提供する情報を確認してください。

アップデートする
開発者が提供する情報をもとに、製品をアップデートした上でパッチを適用してください。