公開日:2026/03/23 最終更新日:2026/03/23

JVNVU#96212424
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-13901

  • Modicon M241/M251 バージョン 5.4.13.12より前
  • Modicon M262 バージョン 5.4.10.12より前
CVE-2025-13902
  • Modicon Controllers M241/M251 バージョン 5.4.13.12より前
  • Modicon Controllers M258/LMC058 すべてのバージョン
CVE-2026-2273
  • EcoStruxure Automation Expert バージョン v25.0.1より前
CVE-2025-11739
  • EcoStruxure Power Monitoring Expert (PME) バージョン 2022、2023、2023 R2、2024、2024 R2
  • EcoStruxure Power Operation (EPO) with Advanced Reporting and Dashboards Module バージョン 2022、2024

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • リソースの不適切なリリース(CWE-404)
    • CVE-2025-13901
  • クロスサイトスクリプティング(CWE-79)
    • CVE-2025-13902
  • コードインジェクション(CWE-94)
    • CVE-2026-2273
  • 信頼できないデータのデシリアライゼーション(CWE-502)
    • CVE-2025-11739

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 攻撃者によって細工されたペイロードを送信された場合、Machine Expertプロトコル上で部分的なサービス運用妨害(DoS)状態が引き起こされる(CVE-2025-13901)
  • 認証済みの攻撃者によって細工された要素にカーソルを合わせた場合、ユーザーのブラウザ上で任意のJavaScriptが実行される(CVE-2025-13902)
  • 攻撃者によってエンジニアリングワークステーション上で任意のコマンドが実行され、結果として、ワークステーションが限定的に侵害されたり、認証済みのユーザーが細工されたプロジェクトファイルを開いた場合、後続システムの機密性、完全性、可用性が侵害されたりする(CVE-2026-2273)
  • ローカルの認証済み攻撃者によって細工されたデータストリームを送信された場合、管理者権限で任意のコードが実行される(CVE-2025-11739)

対策方法

CVE-2025-13901、CVE-2026-2273
アップデートする
開発者は、アップデートを提供しています。

CVE-2025-13902
アップデートする
開発者は、Modicon Controllers M241/M251のアップデートを提供しています。
ワークアラウンドを実施する
Modicon Controllers M258/LMC058には、ワークアラウンドの適用を推奨しています。

CVE-2025-11739
Hotfixを適用する
PME バージョン 2023 R2、2024 R2のHotfixを提供しています。
アップデートする
PME バージョン 2024のアップデートを提供しています。
アップデートおよびHotfixを適用する
PME バージョン 2023およびEPO with Advanced Reporting and Dashboards Module バージョン 2024はアップデート後、Hotfixの適用を推奨しています。
ワークアラウンドを実施する
PME バージョン 2022およびEPO with Advanced Reporting and Dashboards Module バージョン 2022のサポートは終了しているとのことです。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2026-069-01 | Improper Resource Shutdown or Release vulnerability in Multiple Products(PDF)
SEVD-2026-069-02 | Improper Neutralization in Multiple Products(PDF)
SEVD-2026-069-04 | Improper Control of Generation of Code ('Code Injection') vulnerability on EcoStruxure Automation Expert(PDF)
SEVD-2026-069-06 | Deserialization of Untrusted Data vulnerability on Multiple Products(PDF)

参考情報

  1. ICS Advisory | ICSA-26-078-01
    Schneider Electric Modicon M241, M251, and M262
  2. ICS Advisory | ICSA-26-078-02
    Schneider Electric Modicon Controllers M241, M251, M258, and LMC058
  3. ICS Advisory | ICSA-26-078-03
    Schneider Electric EcoStruxure Automation Expert
  4. ICS Advisory | ICSA-26-078-04
    Schneider Electric EcoStruxure PME and EPO

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia