【活用ガイド】

JVNDB-2025-007524

Parsons 製 AccuWeather and Custom RSS widget におけるクロスサイトスクリプティングの脆弱性

概要

Parsons が提供する AccuWeather and Custom RSS widget には、次の脆弱性が存在します。

 * クロスサイトスクリプティング(CWE-79) - CVE-2025-5015
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Parsons
  • AclaraONE Utility Portal 1.22 より前のバージョン
  • Utility Enterprise Data Management バージョン 5.18
  • Utility Enterprise Data Management バージョン 5.03
  • Utility Enterprise Data Management バージョン 4.02 から 4.26まで
  • Utility Enterprise Data Management バージョン 3.30

想定される影響

脆弱性を悪用された場合、認証されていない攻撃者によって次のような影響を受ける可能性があります。

 * RSS フィード URL を悪意のある URL に置き換えられる
対策

[アップデートする]
開発者は、アップデートを提供しています。
Parsons Utility Enterprise Data Management ユーザーおよび AclaraONE ホストユーザーに関してはすでに修正済みとのことです。
AclaraONE オンプレミスユーザーは「Aclara Connect Customer Portal」で提供するパッチ適用が必要とのことです。詳細は、開発者にお問い合わせください。
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-5015
参考情報

  1. JVN : JVNVU#94639929
  2. ICS-CERT ADVISORY : ICSA-25-175-06
更新履歴

  • [2025年06月26日]
      掲載

公表日2025/06/25
登録日2025/06/26
最終更新日2025/06/26