【活用ガイド】

JVNDB-2026-001665

Rockwell Automation製Verve Asset Managerにおける複数の脆弱性

概要

Rockwell Automationが提供するVerve Asset Managerには、次の複数の脆弱性が存在します。
  • 保存された機微な情報に対するアクセス権設定の不備(CWE-922) - CVE-2025-14376
  • 重要な情報の平文保存(CWE-312) - CVE-2025-14377
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Rockwell Automation
  • Verve Asset Manager 1.33
  • Verve Asset Manager 1.34
  • Verve Asset Manager 1.35
  • Verve Asset Manager 1.36
  • Verve Asset Manager 1.37
  • Verve Asset Manager 1.38
  • Verve Asset Manager 1.39
  • Verve Asset Manager 1.40
  • Verve Asset Manager 1.41
  • Verve Asset Manager 1.41.1
  • Verve Asset Manager 1.41.2
  • Verve Asset Manager 1.41.3

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。
  • レガシーADIサーバーコンポーネントにおいて、環境変数内に平文で保存された機微な情報が漏えいする(CVE-2025-14376)
  • レガシーAnsibleプレイブックコンポーネントにおいて、プレイブック実行時に平文で保存された機微な情報が漏えいする(CVE-2025-14377)
対策

[アップデートする]
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。
ベンダ情報

Schneider Electric
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 重要な情報の平文保存(CWE-312) [その他]
  2. 重要な情報のセキュアでない格納(CWE-922) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-14376
  2. CVE-2025-14377
参考情報

  1. JVN : JVNVU#92064534
  2. ICS-CERT ADVISORY : ICSA-26-020-03
更新履歴

  • [2026年01月23日]
      掲載

公表日2026/01/22
登録日2026/01/23
最終更新日2026/01/23