公開日:2025/08/13 最終更新日:2025/08/13

JVNVU#90148644
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • EcoStruxure Power Monitoring Expert (PME) バージョン2022、2023、2024、2024 R2
  • EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module(w/ Advanced Reporting Module)バージョン2022、2024

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • パストラバーサル(CWE-22)
    • CVE-2025-54926、CVE-2025-54927
  • 信頼できないデータのデシリアライゼーション(CWE-502)
    • CVE-2025-54923
  • サーバサイドリクエストフォージェリ(CWE-918)
    • CVE-2025-54924、CVE-2025-54925

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 管理者権限を取得した第三者によってアップロードされた細工されたファイルを実行した場合、リモートコードが実行される(CVE-2025-54926)
  • 認証を取得した第三者によって細工されたパス入力を使用した場合、機微なファイルに不正にアクセスされる(CVE-2025-54927)
  • 認証済みのユーザーが細工されたデータをネットワークに公開されている安全でないデシリアライズを行うサービスに送信した場合、リモートコードが実行されたりシステムの完全性が侵害されたりする(CVE-2025-54923)
  • 第三者によって細工されたドキュメントを脆弱なエンドポイントに送信された場合、機微なデータに不正にアクセスされる(CVE-2025-54924)
  • 第三者によってアプリケーションを細工されたURLにアクセスするように設定された場合、機微なデータに不正にアクセスされる(CVE-2025-54925)

対策方法

HotFixを適用する
開発者は、PME 2024 R2およびEPO Advanced Reporting andDashboards Module 2024にCVE-2025-54923以外を修正したHotfixを提供しています。

ワークアラウンドを実施する
開発者は、Hotfixを適用しない場合を含む、すべての影響を受ける製品に対して、緩和策の適用を推奨しています。

開発者は、既にサポートを終了しているEcoStruxure Power Monitoring Expert (PME) 2022を除く影響を受ける製品に修正版の提供を予定しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2025-224-02 | EcoStruxure Power Monitoring Expert Software & EcoStruxure Power Operation (EPO) and EcoStruxure Power SCADA Operation (PSO)(PDF)

参考情報

  1. ICS Advisory | ICSA-25-224-03
    Schneider Electric EcoStruxure Power Monitoring Expert

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia