JVNDB-2026-002780

Ilevia製EVE X1における複数の脆弱性

Ileviaが提供するEVE X1には、次の複数の脆弱性が存在します。

• パストラバーサル（CWE-22） - CVE-2025-34185、CVE-2025-34517、CVE-2025-34518
• OSコマンドインジェクション（CWE-78） - CVE-2025-34184、CVE-2025-34186、CVE-2025-34187、CVE-2025-34513
• ログファイルからの情報漏えい（CWE-532） - CVE-2025-34183
• クロスサイトスクリプティング（CWE-79） - CVE-2025-34512

Ilevia Srl

• EVE X1 Server ファームウェア 4.7.18.0およびそれ以前のバージョン

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の攻撃者によってサーバーから任意のファイルを取得され、機微な情報や認証情報を漏えいされる（CVE-2025-34185）
• 遠隔の攻撃者によって任意のシステムコマンドを実行され、結果として運用妨害（DoS）状態にされる（CVE-2025-34184）
• 遠隔の攻撃者によって認証情報を取得され、システムを侵害される（CVE-2025-34183）
• 遠隔の攻撃者によって認証を回避され、システムへの完全なアクセスを取得される（CVE-2025-34186）
• 遠隔の攻撃者によってrootへ権限昇格され、システムを侵害される（CVE-2025-34187）
• 攻撃者によって任意のファイルを読み取られる（CVE-2025-34517、CVE-2025-34518）
• 攻撃者によって任意のコードを実行される（CVE-2025-34512、CVE-2025-34513）

[ワークアラウンドを実施する]
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、ICS Advisoryおよび開発者が提供する情報を確認してください。

Ilevia Srl

• Ilevia Srl : Downloads

1. パス・トラバーサル(CWE-22) [その他]
2. ログファイルからの情報漏えい(CWE-532) [その他]
3. OSコマンドインジェクション(CWE-78) [その他]
4. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2025-34183
2. CVE-2025-34184
3. CVE-2025-34185
4. CVE-2025-34186
5. CVE-2025-34187
6. CVE-2025-34512
7. CVE-2025-34513
8. CVE-2025-34517
9. CVE-2025-34518

1. JVN : JVNVU#90597152
2. ICS-CERT ADVISORY : ICSA-26-036-04

• [2026年02月09日]
    掲載