つみかさね

CVE-2026-25818

Critical(9.1)

CVE-2026-25818 — HMS Ewon 弱いエントロピーのCookie

公開日: 2026-03-17データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Ewon FlexyHMS Networks< 15.0s4
Ewon Cosy+HMS Networks22.xx < 22.1s6
Ewon Cosy+HMS Networks23.xx < 23.0s3
CVEHMS NetworksEwonICSセッション管理

概要

HMS Networks の 産業用 リモート アクセス ルーター Ewon Flexy および Cosy+ に おいて、認証 Cookie の エントロピー が 弱い 脆弱性 が 報告 されて います。攻撃者 が セッション Cookie を 窃取 した 場合、暗号化 パラメータ の 総当たり に よって ユーザー パスワード を 復元 できる 可能性 が あります。

CVE-2026-25823(スタック バッファ オーバーフロー、CVSS 9.8)と 同じ セキュリティ アドバイザリ で 報告 されて おり、OT 環境 の 管理者 は 併せて 対応 を 推奨 します。

CVSS ベクトル

項目
CVSSスコア9.1 (Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベルなし
ユーザ関与なし
機密性への影響
完全性への影響
可用性への影響なし
CWECWE-315 (Cookieにおけるクリアテキスト保存)

影響 を 受ける ソフトウェア

製品ベンダー影響バージョン
Ewon FlexyHMS Networksファームウェア 15.0s4 未満
Ewon Cosy+HMS Networksファームウェア 22.xx 系 22.1s6 未満
Ewon Cosy+HMS Networksファームウェア 23.xx 系 23.0s3 未満

修正 バージョン と 回避策

  • 修正: ファームウェア 15.0s4 / 22.1s6 / 23.0s3 以降 で 修正
  • 推奨対策: ファームウェア を 最新 バージョン に アップデート して ください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-25823HMS Ewon スタックバッファオーバーフローCVSS 9.8

参考リンク

HMS Security Advisory:https://hmsnetworks.blob.core.windows.net/nlw/docs/default-source/products/cybersecurity/security-advisory/hms-security-advisory-2026-03-09-001---ewon-several-flexy-and-cosy--vulnerabilities.pdf
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-25818
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。