公開日:2025/03/21 最終更新日:2025/03/21

JVNVU#94326936
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-0327

  • EcoStruxure Process Expert バージョン2020R2、2021、2023(v4.8.0.5715より前のバージョン)
  • EcoStruxure Process Expert for AVEVA System Platform バージョン2020R2、2021、2023
CVE-2025-0814、CVE-2025-0815、CVE-2025-0816
  • Enerlin’X IFE interface (LV434001) 全バージョン
  • Enerlin’X eIFE (LV851001) 全バージョン

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不適切な権限管理(CWE-269)
    • CVE-2025-0327
  • 不適切な入力検証(CWE-20)
    • CVE-2025-0814、CVE-2025-0815、CVE-2025-0816

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの権限を昇格され、エンジニアリングワークステーションの機密性や完全性、可用性が損なわれる(CVE-2025-0327)
  • 当該機器へ悪意あるパケットを送信され、サービス運用妨害(DoS)状態にされる(CVE-2025-0814、CVE-2025-0815、CVE-2025-0816)

対策方法

CVE-2025-0327
アップデートする
開発者は、EcoStruxure Process Expert 2023 Software Packageのアップデートを提供しています。

ワークアラウンドを実施する
以下の場合、開発者はワークアラウンドの適用を推奨しています。

  • EcoStruxure Process Expert 2023 Software Packageのアップデートを適用できない場合。
  • EcoStruxure Process Expert for AVEVA System Platformを使用している場合。
    開発者はアップデートの提供を予定していますが、2025年3月21日時点でアップデートは提供されていません。
CVE-2025-0814
アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

CVE-2025-0815、CVE-2025-0816
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2025-042-03 | EcoStruxure Process Expert, EcoStruxure Process Expert for AVEVA System Platform(PDF)
SEVD-2025-042-04 | Enerlin’X IFE and eIFE(PDF)

参考情報

  1. ICS Advisory | ICSA-25-079-01
    Schneider Electric EcoStruxure
  2. ICS Advisory | ICSA-25-079-02
    Schneider Electric Enerlin’X IFE and eIFE

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia