公開日:2026/01/29 最終更新日:2026/01/29

JVNVU#99454170
複数のJohnson Controls製品におけるコマンドインジェクションの脆弱性

概要

複数のJohnson Controls製品にはコマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • Application and Data Server (ADS) Metasys 14.1およびそれ以前
  • Extended Application and Data Server (ADX) Metasys 14.1
  • LCS8500 Metasys installation 12.0から14.1まで
  • NAE8500 Metasys installation 12.0から14.1まで
  • System Configuration Tool (SCT) 17.1およびそれ以前
  • Controller Configuration Tool (CCT) 17.0およびそれ以前

詳細情報

複数のJohnson Controls製品には次の脆弱性が存在します。

  • コマンドインジェクション(CWE-77)
    • CVE-2025-26385

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 特定の状況において、システム上でSQLコマンドが実行される

対策方法

パッチを適用する
開発者はLicense Portalを通じたパッチの適用を推奨しています。

ワークアラウンドを実施する
パッチの適用と併せてワークアラウンドの適用も推奨されます。

詳細はICS Advisoryを確認してください。

ベンダ情報

ベンダ リンク
Johnson Controls Security Advisories

参考情報

  1. ICS Advisory | ICSA-26-027-04
    Johnson Controls Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia