JVNVU#98020473
複数のCognex製品における複数の脆弱性

Cognexが提供する複数の製品には、複数の脆弱性が存在します。

• In-Sight 2000 シリーズ バージョン 5.xから6.5.1まで
• In-Sight 7000 シリーズ バージョン 5.xから6.5.1まで
• In-Sight 8000 シリーズ バージョン 5.xから6.5.1まで
• In-Sight 9000 シリーズ バージョン 5.xから6.5.1まで
• In-Sight Explorer バージョン 5.xから6.5.1まで

Cognexが提供する複数の製品名称には、次の複数の脆弱性が存在します。

• ハードコードされたパスワードの使用（CWE-259）
  • CVE-2025-54754
• 重要情報の平文送信（CWE-319）
  • CVE-2025-47698、CVE-2025-54818
• インストール時のファイルアクセス権の設定が不適切（CWE-276）
  • CVE-2025-53947
• 過度な認証試行の不適切な制限（CWE-307）
  • CVE-2025-54860
• 重要なリソースに対する不適切なアクセス権の割り当て（CWE-732）
  • CVE-2025-52873、CVE-2025-54497
• Capture-replayによる認証回避（CWE-294）
  • CVE-2025-54810
• サーバのためのセキュリティ機能のクライアント側への依存（CWE-602）
  • CVE-2025-53969

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 隣接ネットワーク上の攻撃者によってネットワーク通信を復号され、当該デバイスが影響を受ける（CVE-2025-54754）
• 隣接ネットワーク上の攻撃者によって、ファームウェアのアップグレード中にユーザーの認証情報を取得される（CVE-2025-47698）
• 本ソフトウェアがインストールされているWindowsシステムのユーザーによって、機密データが破損される（CVE-2025-53947）
• Telnetサービスがアクセス不能状態にされる（CVE-2025-54860）
• 管理権限を持たないユーザーによって、製品のネットワーク設定などを変更される（CVE-2025-52873、CVE-2025-54497）
• 隣接ネットワーク上の攻撃者によって、有効な認証情報を傍受され当該デバイスにアクセスされる（CVE-2025-54818）
• ネットワークトラフィックの監視により暗号化されたパスワードを窃取され、不正アクセスされる（CVE-2025-54810）
• クライアント側のソフトウェアに提供している設定管理サービスを悪用される（CVE-2025-53969）

製品の使用を停止し後継製品に移行する
開発者によると当該製品のサポートは既に終了しているため、後継製品への移行を推奨するとのことです。
詳細は、ICS Advisoryを確認してください。