JVNDB-2026-002779

JVNDB-2026-002779
横河電機製FAST/TOOLSにおける複数の脆弱性
概要
横河電機株式会社が提供するFAST/TOOLSには、次の複数の脆弱性が存在します。エラーメッセージによる情報漏えい（CWE-209） - CVE: CVE-2025-66594 クロスサイトリクエストフォージェリ（CWE-352） - CVE-2025-66595 オープンリダイレクト（CWE-601） - CVE: CVE-2025-66596 不完全、または危険な暗号アルゴリズムの使用（CWE-327） - CVE: CVE-2025-66597 不完全、または危険な暗号アルゴリズムの使用（CWE-327） - CVE: CVE-2025-66598 認可されていない制御領域への重要情報の漏えい（CWE-497） - CVE-2025-66599 不適切に実装されたセキュリティチェック（CWE-358） - CVE-2025-66600 不適切に実装されたセキュリティチェック（CWE-358） - CVE-2025-66601 認証時のIPアドレスへの依存（CWE-291） - CVE-2025-66602 不適切に実装されたセキュリティチェック（CWE-358） - CVE-2025-66603 重要な情報の平文での送信（CWE-319） - CVE-2025-66604 認可されていない行為者への個人情報の漏洩（CWE-359） - CVE-2025-66605 Webページ内の識別子における無効な文字の不適切な無害化（CWE-86） - CVE-2025-66606 不適切に実装されたセキュリティチェック（CWE-358） - CVE-2025-66607 パストラバーサル（CWE-29） - CVE-2025-66608 詳しくは、開発者が提供する情報を確認してください。この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.3 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE: CVE-2025-66594 の評価になります。
CVSS v3 による深刻度基本値:5.3 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2025-66595 の評価になります。
CVSS v3 による深刻度基本値:5.8 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更あり機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE: CVE-2025-66596 の評価になります。
CVSS v3 による深刻度基本値:8.2 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE: CVE-2025-66597 の評価になります。
CVSS v3 による深刻度基本値:7.1 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE: CVE-2025-66598 の評価になります。
CVSS v3 による深刻度基本値:5.3 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66599 の評価になります。
CVSS v3 による深刻度基本値:8.2 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2025-66600 の評価になります。
CVSS v3 による深刻度基本値:6.5 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2025-66601 の評価になります。
CVSS v3 による深刻度基本値:5.3 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66602 の評価になります。
CVSS v3 による深刻度基本値:3.1 (注意) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: なし利用者の関与: 必要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66603 の評価になります。
CVSS v3 による深刻度基本値:3.1 (注意) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: なし利用者の関与: 必要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66604 の評価になります。
CVSS v3 による深刻度基本値:3.1 (注意) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: なし利用者の関与: 必要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66605 の評価になります。
CVSS v3 による深刻度基本値:3.4 (注意) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: なし利用者の関与: 必要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66606 の評価になります。
CVSS v3 による深刻度基本値:3.7 (注意) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2025-66607 の評価になります。
CVSS v3 による深刻度基本値:7.5 (重要) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: なし利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2025-66608 の評価になります。
影響を受けるシステム
影響を受けるシステム（未登録）パッケージ：RVSVRN、UNSVRN、HMIWEB、FTEES、HMIMOB バージョン：R9.01からR10.04まで
横河電機株式会社 FAST/TOOLS パッケージ：RVSVRN、UNSVRN、HMIWEB、FTEES、HMIMOB　バージョン：R9.01からR10.04まで

想定される影響
想定される影響は、各脆弱性により異なりますが、次のような可能性があります。 CVE-2025-66594 エラーページに表示されたメッセージの情報を他の攻撃に悪用される可能性があります。 CVE-2025-66595 攻撃者により細工されたリンクにユーザがアクセスした場合、アカウントがなりすまされる可能性があります。 CVE-2025-66596 攻撃者によって無効なホストヘッダーが挿入された場合、不正なホストへリダイレクトされる可能性があります。 CVE-2025-66597 弱い暗号アルゴリズムが使用可能であるため、攻撃者によってWebサーバーとの通信を解読される可能性があります。 CVE-2025-66598 古いSSL/TLSバージョンが使用可能であるため、攻撃者によってWebサーバーとの通信を解読される可能性があります。 CVE-2025-66599 Webページに表示された物理パスを他の攻撃に悪用される可能性があります。 CVE-2025-66600 攻撃者によって中間者攻撃（Man-in-the-Middle Attack）が行われた場合、Webサーバーとの通信内容を窃取される可能性があります。 CVE-2025-66601 攻撃者によってContent Sniffing攻撃が行われた場合、不正なスクリプトを実行される可能性があります。 CVE-2025-66602 WebサーバーがIPアドレスによるアクセスを受け付けるため、ランダムなIPアドレスでWebサーバーを探すマルウェアにネットワーク内へ侵入される可能性があります。 CVE-2025-66603 Webサーバーが受け付けたOPTIONSメソッドセージの情報を、他の攻撃に悪用される可能性があります。 CVE-2025-66604 Webページに表示されたライブラリのバージョン情報を、他の攻撃に悪用される可能性があります。 CVE-2025-66605 WebページにAutocomplete属性を有効にしている入力項目がり、ブラウザに入力内容が保存される可能性があります。 CVE-2025-66606 URLのエンコード処理が不十分であるため、Webページの改ざんや不正なスクリプトを実行される可能性があります。 CVE-2025-66607 レスポンスヘッダーにセキュアでない設定があるため、攻撃者により不正なサイトへ誘導される可能性があります。 CVE-2025-66608 URLの検証が不十分であるため、攻撃者により細工されたリクエストを受信した場合、Webサーバー内のファイルを窃取される可能性があります。詳しくは、開発者が提供する情報を確認してください。
対策
[アップデートする] 開発者が提供する情報をもとに、製品をアップデートした上でパッチを適用してください。
ベンダ情報
横河電機株式会社横河電機株式会社 : YSAR-26-0001: FAST/TOOLSに複数の脆弱性
CWEによる脆弱性タイプ一覧 CWEとは?
エラーメッセージによる情報漏えい(CWE-209) [その他] パストラバーサル (/../filename)(CWE-29) [その他] 認証時の IP アドレスへの依存(CWE-291) [その他] 重要な情報の平文での送信(CWE-319) [その他] 不完全、または危険な暗号アルゴリズムの使用(CWE-327) [その他] クロスサイトリクエストフォージェリ(CWE-352) [その他] 不適切に実装されたセキュリティチェック(CWE-358) [その他] 認可されていない行為者への個人情報の漏えい(CWE-359) [その他] 認可されていない制御領域への重要情報の漏えい(CWE-497) [その他] オープンリダイレクト(CWE-601) [その他] Web ページ内の識別子における無効な文字の不適切な無害化(CWE-86) [その他]
共通脆弱性識別子(CVE) CVEとは?
CVE-2025-66594 CVE-2025-66595 CVE-2025-66596 CVE-2025-66597 CVE-2025-66598 CVE-2025-66599 CVE-2025-66600 CVE-2025-66601 CVE-2025-66602 CVE-2025-66603 CVE-2025-66604 CVE-2025-66605 CVE-2025-66606 CVE-2025-66607 CVE-2025-66608
参考情報
JVN : JVNVU#97860540
更新履歴
[2026年02月09日] 掲載


公表日	2026/02/09
登録日	2026/02/09
最終更新日	2026/02/09

横河電機製FAST/TOOLSにおける複数の脆弱性