JVNVU#93974687
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2025-1718

• Relion 670/650シリーズ 2.2.6.3およびそれ以前の2.2.6系バージョン
• Relion 670/650およびSAM600-IOシリーズ 2.2.5.7およびそれ以前の2.2.5系バージョン
• Relion 670/650シリーズ 2.2.4.5およびそれ以前の2.2.4系バージョン
• Relion 670シリーズ 2.2.3.7およびそれ以前の2.2.3系バージョン
• Relion 670シリーズ 2.2.2.6およびそれ以前の2.2.2系バージョン
• Relion 670/650およびSAM600-IOシリーズ 2.2.1.8およびそれ以前の2.2.1系バージョン
• Relion 670/650シリーズ 2.2.0.13およびそれ以前の2.2.0系バージョン
• Relion 670/650シリーズ 2.1系のすべてのバージョン
• Relion 670シリーズ 2.0系のすべてのバージョン
• Relion 670/650シリーズ 1系のすべてのバージョン

• MicroSCADA X SYS600 バージョン10.0から10.6

• MicroSCADA X SYS600 バージョン10.5から10.6

• MicroSCADA X SYS600 バージョン10.3から10.6

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

• 例外的状況に対する確認が不十分（CWE-754）
  • CVE-2025-1718
• インストール時のファイルアクセス権の設定が不適切（CWE-276）
  • CVE-2025-39201
• 外部から制御可能なファイル名やパス（CWE-73）
  • CVE-2025-39202
• データの完全性の検証不備（CWE-354）
  • CVE-2025-39203
• データクエリからの機微な情報の漏えい（CWE-202）
  • CVE-2025-39204
• 不正な証明書検証（CWE-295）
  • CVE-2025-39205

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 当該製品を再起動される（CVE-2025-1718）
• ローカルの攻撃者によってシステムファイルを改ざんされ、通知サービスの停止される（CVE-2025-39201）
• 低権限ユーザーによってファイルを閲覧されたり、上書きされたりする（CVE-2025-39202）
• 細工したメッセージを送信され、サービス運用妨害（DoS）状態にされる（CVE-2025-39203）
• Webインターフェースのフィルタリングクエリを改ざんされ、情報を漏えいされる（CVE-2025-39204）
• 遠隔の攻撃者によって中間者攻撃（man-in-the-middle attack）を実行される（CVE-2025-39205）

CVE-2025-1718
アップデートする
開発者は、一部の製品にアップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートの提供されていない製品に対して、一般的な緩和策の適用を推奨しています。
詳細は、開発者が提供する情報（8DBD000174）を確認してください。

CVE-2025-39201、CVE-2025-39202、CVE-2025-39203、CVE-2025-39204、CVE-2025-39205
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、一般的な緩和策の適用も推奨しています。
詳細は、開発者が提供する情報（8DBD000218）を確認してください。