公開日:2025/07/04 最終更新日:2025/07/04
JVNVU#93974687
複数のHitachi Energy製品における複数の脆弱性
Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。
CVE-2025-1718
- Relion 670/650シリーズ 2.2.6.3およびそれ以前の2.2.6系バージョン
- Relion 670/650およびSAM600-IOシリーズ 2.2.5.7およびそれ以前の2.2.5系バージョン
- Relion 670/650シリーズ 2.2.4.5およびそれ以前の2.2.4系バージョン
- Relion 670シリーズ 2.2.3.7およびそれ以前の2.2.3系バージョン
- Relion 670シリーズ 2.2.2.6およびそれ以前の2.2.2系バージョン
- Relion 670/650およびSAM600-IOシリーズ 2.2.1.8およびそれ以前の2.2.1系バージョン
- Relion 670/650シリーズ 2.2.0.13およびそれ以前の2.2.0系バージョン
- Relion 670/650シリーズ 2.1系のすべてのバージョン
- Relion 670シリーズ 2.0系のすべてのバージョン
- Relion 670/650シリーズ 1系のすべてのバージョン
CVE-2025-39201、CVE-2025-39202、CVE-2025-39204
- MicroSCADA X SYS600 バージョン10.0から10.6
- MicroSCADA X SYS600 バージョン10.5から10.6
- MicroSCADA X SYS600 バージョン10.3から10.6
Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。
- 例外的状況に対する確認が不十分(CWE-754)
- CVE-2025-1718
- インストール時のファイルアクセス権の設定が不適切(CWE-276)
- CVE-2025-39201
- 外部から制御可能なファイル名やパス(CWE-73)
- CVE-2025-39202
- データの完全性の検証不備(CWE-354)
- CVE-2025-39203
- データクエリからの機微な情報の漏えい(CWE-202)
- CVE-2025-39204
- 不正な証明書検証(CWE-295)
- CVE-2025-39205
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 当該製品を再起動される(CVE-2025-1718)
- ローカルの攻撃者によってシステムファイルを改ざんされ、通知サービスの停止される(CVE-2025-39201)
- 低権限ユーザーによってファイルを閲覧されたり、上書きされたりする(CVE-2025-39202)
- 細工したメッセージを送信され、サービス運用妨害(DoS)状態にされる(CVE-2025-39203)
- Webインターフェースのフィルタリングクエリを改ざんされ、情報を漏えいされる(CVE-2025-39204)
- 遠隔の攻撃者によって中間者攻撃(man-in-the-middle attack)を実行される(CVE-2025-39205)
CVE-2025-1718
アップデートする
開発者は、一部の製品にアップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートの提供されていない製品に対して、一般的な緩和策の適用を推奨しています。
詳細は、開発者が提供する情報(8DBD000174)を確認してください。
CVE-2025-39201、CVE-2025-39202、CVE-2025-39203、CVE-2025-39204、CVE-2025-39205
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、一般的な緩和策の適用も推奨しています。
詳細は、開発者が提供する情報(8DBD000218)を確認してください。
-
ICS Advisory | ICSA-25-184-01
Hitachi Energy Relion 670/650 and SAM600-IO Series -
ICS Advisory | ICSA-25-184-02
Hitachi Energy MicroSCADA X SYS600