HMI View Jet C-moreの複数の脆弱性
1.脆弱性の概要
HMI View Jet C-moreシリーズ に脆弱性が発見されましたので、その内容と対処方法をお知らせします。
内容をご確認の上、以下の対処を実施いただきますよう、お願い申し上げます。
2.対象製品
本脆弱性の影響を受ける製品の型番、およびバージョンは以下の通りです。
| 型番 | ファームウェアバージョン |
|---|---|
| EA7-S6M-S | 全バージョン |
| EA7-S6C-S | 全バージョン |
| EA7-T6C-S | 全バージョン |
| EA7-T8C-S | 全バージョン |
| EA7-T10C-S | 全バージョン |
| EA7-T10C-SG | 全バージョン |
| EA7-T12C-S | 全バージョン |
| EA7-T15C-S | 全バージョン |
3.説明
HMI View Jet C-moreシリーズには、次の複数の脆弱性が存在します。
3-1.レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限 (CWE-1021)
CVSS v3 AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3
CVE-2025-24310
3-2.FTPサービスにおけるサービス運⽤妨害(DoS) (CWE-770)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
CVE-2025-24317
3-3.Webサービスにおけるサービス運⽤妨害(DoS) (CWE-770)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
CVE-2025-24317
3-4.リモートアクセスサービスにおけるサービス運⽤妨害(DoS) (CWE-770)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
CVE-2025-24317
3-5.意図しない通信の中継 (CWE-441)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N 基本値 5.8
CVE-2025-25061
3-6.容易に復元可能なパスワード (CWE-261)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値 8.6
CVE-2025-26401
4.想定される影響
第三者により、巧妙に細工された透明度または不透明度を持つ Web サイトの要素を介して、クリックジャッキング攻撃を実行される可能性があります。
特定のポートに不正なパケットを送信されることによりサービス運⽤妨害 (DoS) 攻撃を受け、サービスが停止する可能性があります。サービス停止状態からの復旧にはHMIの再起動が必要になります。
HMIを中継点にして別のホストを攻撃するFTPバウンス攻撃に利用される可能性があります。
認証情報の脆弱なエンコードにより、パスワードが使用されているシステムが侵害される可能性があります。攻撃者はプロジェクトファイルにアクセスして保存されているパスワードを入手したり、パスワードを任意のものに変更したりする可能性があります。
5.軽減策・回避策
HMI View Jet C-moreシリーズをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用し、不正アクセスを防止してください。
内部ネットワーク内でのみアクセス可能にすることで、攻撃のリスクを軽減してください。
プロジェクトファイルは第三者がアクセスできない安全な場所に保管してください。