公開日:2026/03/25 最終更新日:2026/03/25

JVNVU#90028062
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2026-1286

  • EcoStruxure Foxboro DCS バージョン CS8.1より前
CVE-2025-49844、CVE-2025-46817、CVE-2025-46818、CVE-2025-46819
  • Plant iT/Brewmaxx バージョン v9.60およびそれ以降

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 信頼できないデータのデシリアライゼーション(CWE-502)
    • CVE-2026-1286
  • 解放済みメモリの使用(CWE-416)
    • CVE-2025-49844
  • 整数オーバーフローまたはラップアラウンド(CWE-190)
    • CVE-2025-46817、CVE-2025-46819
  • コードインジェクション(CWE-94)
    • CVE-2025-46818

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 攻撃者によって細工されたプロジェクトファイルを管理者権限のユーザーが開いた場合、機密性および完全性が侵害されたり、ワークステーション上でリモートコードが実行されたりする(CVE-2026-1286)
  • 攻撃者によって細工されたLuaスクリプトを認証されたユーザーが使用した場合、リモートコードが実行される(CVE-2025-49844、CVE-2025-46817)
  • 攻撃者によって細工されたLuaスクリプトを認証されたユーザーが使用した場合、別ユーザーのコンテキストでコードが実行される(CVE-2025-46818)
  • 攻撃者によって細工されたLuaスクリプトを認証されたユーザーが使用した場合、範囲外のデータを読み取ったり、サーバがクラッシュされて結果としてサービス運用妨害(DoS)状態が引き起こされたりする(CVE-2025-46819)

対策方法

CVE-2026-1286
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

CVE-2025-49844、CVE-2025-46817、CVE-2025-46818、CVE-2025-46819
パッチを適用する
開発者は、パッチを提供しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2026-069-03 | Deserialization of Untrusted Data vulnerability on EcoStruxure Foxboro DCS(PDF)
SEVD-2026-013-01 | Multiple Third-Party Vulnerabilities on ProLeiT Plant iT/Brewmaxx(PDF)

参考情報

  1. ICS Advisory | ICSA-26-083-02
    Schneider Electric EcoStruxure Foxboro DCS
  2. ICS Advisory | ICSA-26-083-03
    Schneider Electric Plant iT/Brewmaxx

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia