JVNVU#90324108
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2025-0813

• EcoStruxure Power Automation System User Interface (EPAS-UI) - Secured Versions v2.1からv2.9まで

• WebHMI – Deployed with EcoStruxure Power Automation System v4.1.0.0およびそれ以前（EPAS User Interface バージョン2.6.30.19およびそれ以前で実装の場合）

• EcoStruxure Panel Server v2.0およびそれ以前

• Schneider Electric ASCO 5310 Single-Channel Remote Annunciator 全バージョン
• Schneider Electric ASCO 5350 Eight Channel Remote Annunciator 全バージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不適切な認証（CWE-287）
  • CVE-2025-0813
• リソースの安全ではない値への初期化（CWE-1188）
  • CVE-2025-1960
• ログファイルからの情報漏えい（CWE-532）
  • CVE-2025-2002
• ダウンロードしたコードの完全性検証不備（CWE-494）
  • CVE-2025-1058
• 制限または調整なしのリソースの割り当て（CWE-770）
  • CVE-2025-1059
• 重要な情報の平文送信（CWE-319）
  • CVE-2025-1060
• アップロードするファイルの検証が不十分（CWE-434）
  • CVE-2025-1070

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証を回避され、機微な情報へアクセスされたり、任意のコードを実行されたりする（CVE-2025-0813）
• WebHMIを稼働させるソフトウェアアプリケーションへ不正にアクセスされ、認可されていないコマンドを実行される（CVE-2025-1960）
• FTPサーバーの認証情報が漏えいする（CVE-2025-2002）
• 悪意あるファームウェアがダウンロードされ、当該機器を操作不能にされる（CVE-2025-1058）
• 悪意あるパケットが機器のWebサーバーへ送信され、通信を停止される（CVE-2025-1059）
• ネットワークのトラフィックを傍受され、データが漏えいする（CVE-2025-1060）
• 悪意あるファイルがダウンロードされ、機器を操作不能にされる（CVE-2025-1070）

CVE-2025-0813、CVE-2025-2002
アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートを適用できない場合、ワークアラウンドの適用を推奨しています。

CVE-2025-1960
Hotfixを適用する
開発者は、Hotfixを提供しています。

ワークアラウンドを実施する
開発者は、Hotfixを適用できない場合、ワークアラウンドの適用を推奨しています。

CVE-2025-1058、CVE-2025-1059、CVE-2025-1060、CVE-2025-1070
ワークアラウンドを実施する
開発者は各脆弱性を修正したアップデートの提供を予定していますが、2025年3月19日時点でアップデートは提供されていません。
そのため、開発者はワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。