| Title | AVEVA製AVEVA Process Optimizationにおける複数の脆弱性 |
|---|---|
| Summary | AVEVAが提供するAVEVA Process Optimizationには、次の複数の脆弱性が存在します。<ul><li>コードインジェクション(CWE-94) - CVE-2025-61937、CVE-2025-64691</li><li>SQLインジェクション(CWE-89) - CVE-2025-61943</li><li>ファイル検索パスの制御不備(CWE-427) - CVE-2025-65118</li><li>権限チェックの欠如(CWE-862) - CVE-2025-64729</li><li>潜在的に危険な関数の使用(CWE-676) - CVE-2025-65117</li><li>重要な情報の平文送信(CWE-319) - CVE-2025-64769</li></ul> |
| Possible impacts | 脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>taoimrサービスを介して、OSのSYSTEM権限でリモートコード実行される(CVE-2025-61937)</li><li>TCLマクロスクリプトを改ざんし、OSのSYSTEM権限に昇格される(CVE-2025-64691)</li><li>Captive Historian内のSQLクエリを改ざんし、SQL Serverの管理者権限でコード実行される(CVE-2025-61943)</li><li>Process Optimizationサービスに任意のコードを読み込ませ、OSのSYSTEM権限に昇格される(CVE-2025-65118)</li><li>Process Optimizationのプロジェクトファイルを改ざんしてコードを埋め込むことで、プロジェクトファイルを操作する被害者ユーザーの権限に昇格される(CVE-2025-64729)</li><li>グラフィック内に悪意のあるOLEオブジェクトを埋め込むことで、グラフィック要素を操作する被害者ユーザーの権限に昇格される(CVE-2025-65117)</li><li>Process Optimizationアプリケーションの通信チャネルがデフォルトで暗号化されていないため、中間者攻撃(Man-in-the-Middle)や通信の傍受により、セッション情報の悪用やデータの漏えいにつながる(CVE-2025-64769)</li></ul> |
| Solution | [アップデートする] 開発者は、アップデートを提供しています。 [ワークアラウンドを実施する] 開発者は、セキュリティパッチを適用するまでの暫定対策としてワークアラウンドの適用を推奨しています。 詳細は、開発者が提供する情報を確認してください。 |
| Publication Date | Jan. 19, 2026, midnight |
| Registration Date | Jan. 20, 2026, 6:49 p.m. |
| Last Update | Jan. 20, 2026, 6:49 p.m. |
| AVEVA |
| Process Optimization (旧称ROMeo)2024.1およびそれ以前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月20日] 掲載 | Jan. 20, 2026, 7:01 a.m. |