公開日:2026/01/22 最終更新日:2026/01/22

JVNVU#98067852
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2018-12130

  • EcoStruxure Foxboro DCS V91 DCS Virtualization Server バージョン Intel Xeon Silver 4110、バージョン Intel Xeon W-2123およびそれ以前
  • EcoStruxure Foxboro H92 DCS Standard Workstation バージョン Intel Xeon Silver 4110、バージョン Intel Xeon W-2123およびそれ以前
CVE-2022-47378、 CVE-2022-47379、 CVE-2022-47380、 CVE-2022-47381、 CVE-2022-47382、 CVE-2022-47383、 CVE-2022-47384、 CVE-2022-47386、 CVE-2022-47387、 CVE-2022-47388、 CVE-2022-47389、 CVE-2022-47390、 CVE-2022-47385、 CVE-2022-47392、 CVE-2022-47393、 CVE-2022-47391、 CVE-2022-4046、 CVE-2023-28355、 CVE-2023-37545、 CVE-2023-37546、 CVE-2023-37547、 CVE-2023-37548、 CVE-2023-37549、 CVE-2023-37550、 CVE-2023-37551、 CVE-2023-37552、 CVE-2023-37553、 CVE-2023-37554、 CVE-2023-37555、 CVE-2023-37556、 CVE-2023-37557、 CVE-2023-37558、 CVE-2023-37559、 CVE-2023-3662、 CVE-2023-3663、 CVE-2023-3669、 CVE-2023-3670
影響を受ける製品は広範囲に及びます。
影響を受ける製品、バージョンなどの詳細については、後述の[ベンダ情報][参考情報]から確認してください。

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 情報漏えい(CWE-200)
    • CVE-2018-12130
  • 入力データの整合性検証不備(CWE-1288)
    • CVE-2022-47378、CVE-2022-47392、CVE-2022-47391
  • 境界外書き込み(CWE-787)
    • CVE-2022-47379、CVE-2023-37557
  • スタックベースのバッファオーバーフロー(CWE-121)
    • CVE-2022-47380、 CVE-2022-47381、 CVE-2022-47382、 CVE-2022-47383、 CVE-2022-47384、 CVE-2022-47386、 CVE-2022-47387、 CVE-2022-47388、 CVE-2022-47389、 CVE-2022-47390、 CVE-2022-47385
  • 信頼できないポインタの参照(CWE-822)
    • CVE-2022-47393
  • バッファーエラー(CWE-119)
    • CVE-2022-4046
  • データ完全性の検証不備(CWE-354)
    • CVE-2023-28355
  • 不適切な入力確認(CWE-20)
    • CVE-2023-37545、 CVE-2023-37546、 CVE-2023-37547、 CVE-2023-37548、 CVE-2023-37549、 CVE-2023-37550、 CVE-2023-37552、 CVE-2023-37553、 CVE-2023-37554、 CVE-2023-37555、 CVE-2023-37556、 CVE-2023-37558、 CVE-2023-37559
  • 外部からアクセス可能なファイルまたはディレクトリ(CWE-552)
    • CVE-2023-37551
  • ファイル検索パスの制御不備(CWE-427)
    • CVE-2023-3662
  • 通信チャネルで送受信するメッセージに対する完全性の検証不備(CWE-924)
    • CVE-2023-3663
  • 過度な認証試行の不適切な制限(CWE-307)
    • CVE-2023-3669
  • 誤った領域へのリソースの漏えい(CWE-668)
    • CVE-2023-3670

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 情報が漏えいする(CVE-2018-12130)
  • サービス運用妨害(DoS)状態にされる(CVE-2022-47378、CVE-2022-47392、CVE-2022-47393、CVE-2022-47391、CVE-2023-37545、CVE-2023-37546、CVE-2023-37547、CVE-2023-37548、CVE-2023-37549、CVE-2023-37550、CVE-2023-37552、CVE-2023-37553、CVE-2023-37554、CVE-2023-37555、CVE-2023-37556、CVE-2023-37557、CVE-2023-37558、 CVE-2023-37559)
  • サービス運用妨害(DoS)状態にされたり、メモリを上書きされたり、リモートコードを実行されたりする(CVE-2022-47379、CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022-47386、CVE-2022-47387、CVE-2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47385)
  • PLCアプリケーションコードを実行される(CVE-2022-4046、CVE-2023-28355)
  • システムを侵害される(CVE-2023-37551)
  • 悪意ある実行ファイルを実行される(CVE-2023-3662)
  • 意図しないコードを実行される(CVE-2023-3663)
  • 無制限にパスワードを試行される(CVE-2023-3669)
  • 悪意あるスクリプトを実行される(CVE-2023-3670)

対策方法

アップデートする
開発者は、アップデートを提供しています。

別製品へ移行する
開発者は、サポートを終了した製品については別製品への移行を推奨しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2025-343-01 | EcoStruxure Foxboro DCS
SEVD-2023-192-04 | CODESYS Runtime Vulnerabilities

参考情報

  1. ICS Advisory | ICSA-26-020-01
    Schneider Electric EcoStruxure Foxboro DCS
  2. ICS Advisory | ICSA-26-020-02
    Schneider Electric devices using CODESYS Runtime

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia