| タイトル | AVEVA製AVEVA Process Optimizationにおける複数の脆弱性 |
|---|---|
| 概要 | AVEVAが提供するAVEVA Process Optimizationには、次の複数の脆弱性が存在します。<ul><li>コードインジェクション(CWE-94) - CVE-2025-61937、CVE-2025-64691</li><li>SQLインジェクション(CWE-89) - CVE-2025-61943</li><li>ファイル検索パスの制御不備(CWE-427) - CVE-2025-65118</li><li>権限チェックの欠如(CWE-862) - CVE-2025-64729</li><li>潜在的に危険な関数の使用(CWE-676) - CVE-2025-65117</li><li>重要な情報の平文送信(CWE-319) - CVE-2025-64769</li></ul> |
| 想定される影響 | 脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>taoimrサービスを介して、OSのSYSTEM権限でリモートコード実行される(CVE-2025-61937)</li><li>TCLマクロスクリプトを改ざんし、OSのSYSTEM権限に昇格される(CVE-2025-64691)</li><li>Captive Historian内のSQLクエリを改ざんし、SQL Serverの管理者権限でコード実行される(CVE-2025-61943)</li><li>Process Optimizationサービスに任意のコードを読み込ませ、OSのSYSTEM権限に昇格される(CVE-2025-65118)</li><li>Process Optimizationのプロジェクトファイルを改ざんしてコードを埋め込むことで、プロジェクトファイルを操作する被害者ユーザーの権限に昇格される(CVE-2025-64729)</li><li>グラフィック内に悪意のあるOLEオブジェクトを埋め込むことで、グラフィック要素を操作する被害者ユーザーの権限に昇格される(CVE-2025-65117)</li><li>Process Optimizationアプリケーションの通信チャネルがデフォルトで暗号化されていないため、中間者攻撃(Man-in-the-Middle)や通信の傍受により、セッション情報の悪用やデータの漏えいにつながる(CVE-2025-64769)</li></ul> |
| 対策 | [アップデートする] 開発者は、アップデートを提供しています。 [ワークアラウンドを実施する] 開発者は、セキュリティパッチを適用するまでの暫定対策としてワークアラウンドの適用を推奨しています。 詳細は、開発者が提供する情報を確認してください。 |
| 公表日 | 2026年1月19日0:00 |
| 登録日 | 2026年1月20日18:49 |
| 最終更新日 | 2026年1月20日18:49 |
| AVEVA |
| Process Optimization (旧称ROMeo)2024.1およびそれ以前のバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月20日] 掲載 | 2026年1月20日7:01 |