JVNVU#92348195
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2025-3898、CVE-2025-3899、CVE-2025-3112、CVE-2025-3905、CVE-2025-3116、CVE-2025-3117

• Modicon Controllers M241/M251 5.3.12.51より前のバージョン

• Modicon Controllers M262 5.3.9.18より前のバージョン

• Modicon Controllers M258/LMC058 すべてのバージョン

• EVLink WallBox すべてのバージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不適切な入力検証（CWE-20）
  • CVE-2025-3898、CVE-2025-3116
• クロスサイトスクリプティング（CWE-79）
  • CVE-2025-3899、CVE-2025-3905、CVE-2025-3117、CVE-2025-5742
• リソースの枯渇（CWE-400）
  • CVE-2025-3112
• パストラバーサル（CWE-22）
  • CVE-2025-5740、CVE-2025-5741
• OSコマンドインジェクション（CWE-78）
  • CVE-2025-5743

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証されたユーザーによってWebサーバーに細工されたHTTPリクエストを送信された場合、サービス運用妨害（DoS）状態にされる（CVE-2025-3898、CVE-2025-3116）
• 認証されたユーザーによって細工されたデータを挿入され、ユーザーのブラウザ内のデータを改ざんされたり、読み取られたりする（CVE-2025-3899、CVE-2025-3905、CVE-2025-3117）
• 認証されたユーザーによってWebサーバーに細工したHTTPS Content-Lengthヘッダーを送信された場合、サービス運用妨害（DoS）状態にされる（CVE-2025-3112）
• 攻撃者によってファイルパスを操作された場合、任意のファイルに書き込みをされる（CVE-2025-5740）
• Webサーバーの認証済みセッションを取得した攻撃者によって任意のファイルを読み取られる（CVE-2025-5741）
• 認証されたユーザーによってWeb サーバー上の構成パラメーターを改ざんされた場合、任意のスクリプトが実行される（CVE-2025-5742）
• 認証されたユーザーによってWeb サーバー上の構成パラメーターを改ざんされた場合、当該製品を遠隔で制御される（CVE-2025-5743）

CVE-2025-3898、CVE-2025-3899、CVE-2025-3112、CVE-2025-3905、CVE-2025-3116、CVE-2025-3117
アップデートする
開発者は、Modicon M258/LMC058を除く該当の製品に対してアップデートを提供しています。
ワークアラウンドを実施する
Modicon M258/LMC058のアップデートは計画中のため、提供されるまでの間は緩和策の適用を推奨しています。
詳細は、開発者が提供する情報（SEVD-2025-161-02）を確認してください。

CVE-2025-5740、CVE-2025-5741、CVE-2025-5742、CVE-2025-5743
ワークアラウンドを実施するか
開発者は、軽減策の適用を推奨しています。
現行製品の利用を停止し、後継製品に移行する
開発者によると、当該製品はすでにサポートが終了しているため後継製品への移行も推奨しています。
詳細は、開発者が提供する情報（SEVD-2025-161-03）を確認してください。