公開日:2025/11/21 最終更新日:2025/11/21

JVNVU#98839043
複数のAutomated Logic製品における複数の脆弱性

概要

Automated Logicが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品のバージョン 6.1、6.5、7.0、8.0、8.5、9.0が本脆弱性の影響を受けます。

  • Automated Logic WebCTRL Server(all variants)
  • Carrier i-Vu(all variants)
  • Automated Logic SiteScan Web
  • Automated Logic WebCTRL for OEMs(all variants)

詳細情報

Automated Logicが提供する複数の製品には、次の複数の脆弱性が存在します。

  • オープンリダイレクト(CWE-601)
    • CVE-2024-8527
  • クロスサイトスクリプティング(CWE-79)
    • CVE-2024-8528

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 悪意あるサイトへリダイレクトされる(CVE-2024-8527)
  • ユーザーのブラウザー上で悪意あるスクリプトを実行される(CVE-2024-8528)

対策方法

アップデートする
開発者は、バージョン8.0、8.5、9.0に対してアップデートを提供しています。
WebCTRLとi-Vuのバージョン7.0、6.5、6.1はサポートを終了しているとのことです。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Carrier PRODUCT SECURITY ADVISORY | CARR-PSA-2025-04(PDF)

参考情報

  1. ICS Advisory | ICSA-25-324-01
    Automated Logic WebCTRL Premium Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia