JVNDB-2025-025486

SickのField Analyticsにおけるデータの信頼性についての不十分な検証に関する脆弱性

バックアップZIPはアプリケーションによって署名されていないため、攻撃者がバックアップZIPをダウンロードして改ざんし、再アップロードする可能性があります。これにより、攻撃者はサービスの構成を実行不能な状態に設定してアプリケーションを使用不能にし、内部向けのトラフィックを自身がホストするサービスにリダイレクトして情報を収集できます。

Sick

• Field Analytics

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Sick

• Sick : The SICK Product Security Incident Response Team (SICK PSIRT) | SICK
• Sick : https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.json
• Sick : https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.pdf

1. データの信頼性についての不十分な検証(CWE-345) [その他]

1. CVE-2025-49199

1. National Vulnerability Database (NVD) : CVE-2025-49199
2. 関連文書 : ICS Recommended Practices | CISA

• [2026年01月28日]
    掲載