公開日:2025/11/19 最終更新日:2025/11/19

JVNVU#98171499
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-9317

  • EcoStruxure Machine SCADA Expert バージョン 2023.1 Patch 1より前
  • Pro-face BLUE Open Studio バージョン 2023.1 Patch 1より前
CVE-2025-11565、CVE-2025-11566、CVE-2025-11567
  • PowerChute Serial Shutdown バージョン v1.3およびそれ以前

詳細情報

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 解読される恐れの高い暗号アルゴリズムの使用(CWE-327)
    • CVE-2025-9317
  • パストラバーサル(CWE-22)
    • CVE-2025-11565
  • 過度な認証試行の不適切な制限(CWE-307)
    • CVE-2025-11566
  • インストール時のファイルアクセス権の設定が不適切(CWE-276)
    • CVE-2025-11567

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • EdgeプロジェクトファイルやEdgeオフラインキャッシュファイルへアクセスされ、Edgeユーザーアプリ固有のパスワードやアクティブディレクトリのパスワードを取得される(CVE-2025-9317)
  • 権限を昇格され、システムへアクセスされる(CVE-2025-11565、CVE-2025-11567)
  • ローカルネットワーク上の攻撃者によって、ユーザーアカウントへアクセスされる(CVE-2025-11566)

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2025-315-02 | EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio(PDF)
SEVD-2025-315-01 | PowerChute Serial Shutdown(PDF)

参考情報

  1. ICS Advisory | ICSA-25-322-01
    Schneider Electric EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio
  2. ICS Advisory | ICSA-25-322-04
    Schneider Electric PowerChute Serial Shutdown

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia