JVNVU#90637001
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2025-8449、CVE-2025-8448

• EcoStruxure Building Operation Enterprise Server 7.x 7.0.2.348より前のバージョン
• EcoStruxure Building Operation Enterprise Server 6.x 6.0.4.10001 (CP8)より前のバージョン
• EcoStruxure Building Operation Enterprise Server 5.x 5.0.3.17009 (CP16)より前のバージョン
• EcoStruxure Enterprise Central 7.x 7.0.2.348より前のバージョン
• EcoStruxure Enterprise Central 6.x 6.0.4.10001 (CP8)より前のバージョン
• EcoStruxure Enterprise Central 5.x 5.0.3.17009 (CP16)より前のバージョン
• EcoStruxure Workstation 7.x 7.0.2.348より前のバージョン
• EcoStruxure Workstation 6.x 6.0.4.10001 (CP8)より前のバージョン
• EcoStruxure Workstation 5.x 5.0.3.17009 (CP16)より前のバージョン

• Modicon M340 すべてのバージョン
• BMXNOE0100: Modbus/TCP Ethernet Modicon M340 module SV3.60より前のバージョン
• BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast module SV6.80より前のバージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• リソースの枯渇（CWE-400）
  • CVE-2025-8449
• 情報漏えい（CWE-200）
  • CVE-2025-8448
• 外部からアクセス可能なファイルまたはディレクトリ（CWE-552）
  • CVE-2024-5056

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証されたユーザによって、特別に細工されたリクエストを送信され、サービス運用妨害（DoS）状態にされる（CVE-2025-8449）
• ローカルのSMBトラフィックをキャプチャできる場合、機微な認証情報へアクセスされる（CVE-2025-8448）
• 特定のファイルやディレクトリを削除され、ファームウェアがアップデート不可になったり、Webサーバーが正常に動作しなくなる（CVE-2024-5056）

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

2025年9月12日時点、開発者はModicon M340を除く影響を受ける製品に修正版を提供しています。Modicon M340の修正版が提供され次第、修正版を適用してください。
詳細は、開発者が提供する情報を確認してください。