公開日:2025/07/23 最終更新日:2025/07/23

JVNVU#99891704
複数のSchneider Electric製品における複数の脆弱性

概要

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-6788

  • EcoStruxure Power Monitoring Expert (PME) バージョン2023
  • EcoStruxure Power Monitoring Expert (PME) バージョン2023 R2
  • EcoStruxure Power Monitoring Expert (PME) バージョン2024
  • EcoStruxure Power Monitoring Expert (PME) バージョン2024 R2
  • EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module バージョン2022 w/ Advanced Reporting Module
  • EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module バージョン2024 w/ Advanced Reporting Module
CVE-2023-50447、CVE-2024-28219、CVE-2022-45198、CVE-2023-5217、CVE-2023-35945、CVE-2023-44487
  • EcoStruxure Power Operation (EPO) 2022 CU6 およびそれ以前
  • EcoStruxure Power Operation (EPO) 2024 CU1 およびそれ以前
CVE-2020-11023
  • System Monitor application in Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEPシリーズ すべてのバージョン
  • System Monitor application in Pro-face Industrial PC PS5000シリーズ すべてのバージョン
CVE-2025-50121、CVE-2025-50122、CVE-2025-50123、CVE-2025-50125、CVE-2025-50124、CVE-2025-6438
  • EcoStruxure IT Data Center Expert バージョンv8.3およびそれ以前

詳細情報

Schneider Electricが提供する複数の製人には、次の複数の脆弱性が存在します。

  • 誤った領域へのリソースの漏えい(CWE-668)
    • CVE-2025-6788
  • Evalインジェクション(CWE-95)
    • CVE-2023-50447
    • 当該製品に使用されているPostgreSQLで検出された脆弱性
  • 整数オーバーフローの発生によるバッファオーバーフロー(CWE-680)
    • CVE-2024-28219
    • 当該製品に使用されているPostgreSQLで検出された脆弱性
  • 高圧縮データの不適切な処理(データ増幅)(CWE-409)
    • CVE-2022-45198
    • 当該製品に使用されているPostgreSQLで検出された脆弱性
  • 境界外書き込み(CWE-787)
    • CVE-2023-5217
    • 当該製品に使用されているPostgreSQLで検出された脆弱性
  • リソースの枯渇(CWE-400)
    • CVE-2023-35945、CVE-2023-44487
    • 当該製品に使用されているPostgreSQLで検出された脆弱性
  • クロスサイトスクリプティング(CWE-79)
    • CVE-2020-11023
    • 当該製品に使用されているjQuery製品で検出された脆弱性
  • OSコマンドインジェクション(CWE-78)
    • CVE-2025-50121
  • エントロピー不足(CWE-331)
    • CVE-2025-50122
  • コードインジェクション(CWE-94)
    • CVE-2025-50123
  • サーバサイドリクエストフォージェリ(CWE-918)
    • CVE-2025-50125
  • 不適切な権限管理(CWE-269)
    • CVE-2025-50124
  • XML外部エンティティ参照(XXE)の不適切な制限(CWE-611)
    • CVE-2025-6438

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証された他のユーザーによってTGMLダイアグラムに不正にアクセスされる(CVE-2025-6788)
  • システム機能が失われたりシステム機能へ不正にアクセスされたりする(CVE-2023-50447、CVE-2024-28219、CVE-2022-45198、CVE-2023-5217、CVE-2023-35945、CVE-2023-44487)
  • 不正にコードを実行される(CVE-2020-11023)
  • 不正にリモートでコードを実行される(CVE-2025-50121、CVE-2025-50125)
  • rootパスワードを取得される(CVE-2025-50122)
  • 特権アカウントでリモートでコマンドが実行される(CVE-2025-50123)
  • 権限を昇格される(CVE-2025-50124)
  • 不正にファイルにアクセスされる(CVE-2025-6438)

対策方法

CVE-2025-6788
アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報(SEVD-2025-189-04)を確認してください。

CVE-2023-50447、CVE-2024-28219、CVE-2022-45198、CVE-2023-5217、CVE-2023-35945、CVE-2023-44487
アップデートする
開発者は、EcoStruxure Power Operation (EPO) 2024にアップデートを提供しています。
EcoStruxure Power Operation (EPO) 2022の対策を含む詳細は、開発者が提供する情報(SEVD-2025-189-03)を確認してください。

CVE-2020-11023
製品の使用を停止する
開発者は、当該アプリケーションのアンインストールを推奨しています。
詳細は、開発者が提供する情報(SEVD-2025-189-02)を確認してください。

CVE-2025-50121、CVE-2025-50122、CVE-2025-50123、CVE-2025-50125、CVE-2025-50124、CVE-2025-6438
アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報(SEVD-2025-189-01)を確認してください。

ベンダ情報

ベンダ リンク
Schneider Electric SEVD-2025-189-04 | EcoStruxure Power Monitoring Expert (PME) and EcoStruxure Power Operation (EPO) with Advanced Reporting and Dashboards(PDF)
SEVD-2025-189-03 | EcoStruxure Power Operation(PDF)
SEVD-2025-189-02 | System Monitor Application in Harmony and Pro-face PS5000 Legacy Industrial PCs(PDF)
SEVD-2025-189-01 | EcoStruxure IT Data Center Expert(PDF)

参考情報

  1. ICS Advisory | ICSA-25-203-03
    Schneider Electric EcoStruxure
  2. ICS Advisory | ICSA-25-203-04
    Schneider Electric EcoStruxure Power Operation
  3. ICS Advisory | ICSA-25-203-05
    Schneider Electric System Monitor Application
  4. ICS Advisory | ICSA-25-203-06
    Schneider Electric EcoStruxture IT Data Center Expert

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia