JVN#92563420:多款Roboticsware产品注册Windows服务时使用未加引号的文件路径
发布时间:2025/11/04
最后更新:2025/11/04
概述
Roboticsware PTE. LTD.提供的多款Roboticsware产品在注册Windows服务时使用了未加引号的文件路径。
受影响产品
- FA-Panel6 Rev17及更早版本
- BA-Panel6 Rev17及更早版本
- PA-Panel6 Rev17及更早版本
- FA-Server6 Rev17及更早版本
漏洞描述
Roboticsware PTE. LTD.提供的多款Roboticsware产品存在以下漏洞:
未加引号的搜索路径或元素(CWE-428)
CVSS评分:
- CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基础评分8.4
- CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基础评分6.7
- CVE-2025-64151
影响
对系统驱动器根目录具有写入权限的用户可能以SYSTEM权限执行任意代码。
解决方案
应用补丁 应用开发人员提供的补丁程序。
厂商状态
| 厂商 | 链接 |
|---|---|
| Roboticsware PTE. LTD. | 服务注册路径中的漏洞(日文文本) |
参考信息
- JPCERT/CC附录
- JPCERT/CC的漏洞分析
- CVE:CVE-2025-64151
- JVN iPedia:JVNDB-2025-000100
致谢
GMO Cybersecurity by IERAE, Inc.的Kazuma Matsumoto向IPA报告了此漏洞。 JPCERT/CC在信息安全早期预警合作伙伴关系下与开发人员进行了协调。