公開日:2025/01/24 最終更新日:2025/01/24

JVNVU#95328607
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-8070

  • EVlink Home Smart 2.0.6.0.0より前のバージョン
  • Schneider Charge 1.13.4より前のバージョン
CVE-2024-9002
  • Easergy Studio 9.3.1およびそれ以前のバージョン
CVE-2024-11139
  • EcoStruxure Power Build Rapsody v2.5.2 NLおよびそれ以前のバージョン
  • EcoStruxure Power Build Rapsody v2.7.1 FRおよびそれ以前のバージョン
  • EcoStruxure Power Build Rapsody v2.7.5 ESおよびそれ以前のバージョン
  • EcoStruxure Power Build Rapsody v2.5.4 INTおよびそれ以前のバージョン

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 重要な情報の平文保存(CWE-312)
    • CVE-2024-8070
  • 不適切な権限管理(CWE-269)
    • CVE-2024-9002
  • メモリバッファ―エラー(CWE-119)
    • CVE-2024-11139

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ファームウェアバイナリ内のテスト認証情報が漏えいする(CVE-2024-8070)
  • 非管理者権限のユーザーにバイナリを改ざんされ、権限昇格される(CVE-2024-9002)
  • 細工されたファイルを開いた際、任意のコードを実行される(CVE-2024-11139)

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、EcoStruxure Power Build Rapsody INTバージョンについて、修正バージョンのリリースまではワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2024-282-03 | Easergy Studio (PDF)
SEVD-2024-282-04 | EVlink Home Smart and Schneider Charge (PDF)
SEVD-2025-014-09 | EcoStruxure Power Build Rapsody (PDF)

参考情報

  1. ICS Advisory | ICSA-25-023-03
    Schneider Electric EVlink Home Smart and Schneider Charge
  2. ICS Advisory | ICSA-25-023-04
    Schneider Electric Easergy Studio
  3. ICS Advisory | ICSA-25-023-05
    Schneider Electric EcoStruxure Power Build Rapsody

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia