English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2025年9月29日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2025年9月25日公開
| Dingtian 社の DT-R002 に認証情報の不十分な保護に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-10879、CVE-2025-10880 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-268-01 |
2025年9月23日公開
| AutomationDirect 社の CLICK PLUS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-54855(重要な情報の平文保存)
CVE-2025-58069(ハードコードされた暗号鍵の使用)
CVE-2025-59484(不完全、または危険な暗号アルゴリズムの使用)
CVE-2025-55069(PRNG の予測可能なシード)
CVE-2025-58473(リソースの不適切なシャットダウンおよびリリース)
CVE-2025-55038(認証の欠如)
CVE-2025-57882(リソースの不適切なシャットダウンおよびリリース)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-266-01 |
|
三菱電機 の MELSEC Q シリーズ の CPUモジュール に長さのパラメータの不適切な処理に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.8(AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-8531 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-266-02 |
| Schneider Electric 社の SESU にリンク解釈に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.3(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-5296 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-266-03 |
| Viessmann 社の Vitogate 300 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9494(OSコマンドインジェクション)
CVE-2025-9495(サーバ側のセキュリティのクライアント側での実施)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-266-04 |
|
日立エナジー の リモートターミナルユニット RTU500 シリーズ にセキュリティチェックに関する脆弱性
2025年1月23日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-2617 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-02 |
|
日立エナジー の RTU500 シリーズ に複数の脆弱性
2025年4月3日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-10037(NULLポインタデリファレンス)
CVE-2024-11499(NULLポインタデリファレンス)
CVE-2024-12169(不十分なリソースプール)
CVE-2025-1445(同期の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-01 |
2025年9月18日公開
| Westermo Network Technologies 社の WeOS 5 に OS コマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.6(AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:H/AT:N/PR:H/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-46418 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-01 |
|
Westermo Network Technologies 社の WeOS 5 に入力の構文的正当性の不適切な検証に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-46419 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-02 |
| Schneider Electric 社の Saitel DR RTU に OS コマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.6(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) 基本値 5.8(AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2025-9996、CVE-2025-9997 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-03 |
| 日立エナジー の Asset Suite に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-44729(サーバーサイドのリクエストフォージェリ)
CVE-2023-6378(信頼性のないデータのデシリアライゼーション)
CVE-2022-45868(重要な情報の平文保存)
CVE-2025-23184(リソースの枯渇)
CVE-2024-22262(オープンリダイレクト)
CVE-2022-41678(不適切な認証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-04 |
| 日立エナジー の Service Suite に信頼性のないデータのデシリアライゼーションに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2020-2883 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-05 |
| Cognex 社の In-Sight Explorer、および In-Sight Camera Firmware に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 次世代へのシステム移行推奨 |
| 脆弱性番号 | CVE-2025-54754(ハードコードされたパスワードの使用)
CVE-2025-47698(重要な情報の平文での送信)
CVE-2025-53947(不適切なデフォルトパーミッション)
CVE-2025-54860(過度な認証試行の不適切な制限)
CVE-2025-52873(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2025-54497(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2025-54818(重要な情報の平文での送信)
CVE-2025-54810(キャプチャリプレイによる認証回避)
CVE-2025-53969(サーバ側のセキュリティのクライアント側での実施)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-06 |
|
Dover Fueling Solutions 社の 燃料・水タンク監視デバイス ProGauge MagLink LX に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-55068(整数オーバーフローまたはラップアラウンド)
CVE-2025-54807(ハードコードされた暗号鍵の使用)
CVE-2025-30519(弱い認証情報の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-261-07 |
| End-of-Train and Head-of-Train remote linking protocol に脆弱な認証に関する脆弱性
2025年7月10日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 7.2(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-1727 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10 |
|
三菱電機 の FA エンジニアリングソフトウェア製品 に複数の脆弱性
2024年1月30日 CISA 公開分の更新(Update D)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-6942(重要な機能に対する認証の欠如)
CVE-2023-6943(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-02 |
2025年9月16日公開
|
Schneider Electric 社の Altivar 製品、ATVdPAC モジュール、ILC992 InterLink Converter にクロスサイトスクリプティングの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-7746 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-01 |
| 日立エナジー の RTU500 シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-2953(NULLポインタデリファレンス)
CVE-2025-39203(データの整合性検証不備)
CVE-2024-45490(XML外部エンティティ参照の不適切な制限)
CVE-2024-45491(ヒープベースのバッファオーバーフロー)
CVE-2024-45492(整数オーバーフローまたはラップアラウンド)
CVE-2024-28757(DTD の再帰的なエンティティ参照の不適切な制限)
CVE-2025-6021(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-02 |
|
Siemens 社の SIMATIC NET CP、SINEMA、および SCALANCE に整数オーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2021-41990、CVE-2021-41991 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-03 |
| Siemens 社の RUGGEDCOM、SINEC NMS、および SINEMA に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2021-34798(NULLポインタデリファレンス)
CVE-2021-39275(境界外書き込み)
CVE-2021-40438(サーバーサイドのリクエストフォージェリ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-04 |
| Siemens 社の 産業用製品の OpenSSL に境界外読み取りの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2021-3712 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-05 |
| Siemens 社の 複数の産業用製品 に無限ループに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-0778 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-06 |
| Delta Electronics 社の DIALink にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-58320、CVE-2025-58321 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-07 |
|
Schneider Electric 社の Galaxy VS、Galaxy VL、および Galaxy VXL に重要な機能に対する認証の欠如に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-32433 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-07 |
2025年9月11日公開
| Siemens 社の SIMOTION ツール に例外的な状態のチェックに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-43715 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-01 |
|
Siemens 社の SIMATIC Virtualization as a Service (SIVaaS) に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40804 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-02 |
| Siemens 社の SINAMICS ドライブ機器 に権限管理に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.3(AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:L)(CVSSv3) 基本値 6.9(AV:L/AC:H/AT:P/PR:N/UI:A/VC:N/VI:H/VA:L/SC:N/SI:H/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40594 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-03 |
| Siemens 社の SINEC OS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 3.1(AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 2.3(AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40802(リソースの枯渇に関する脆弱性)
CVE-2025-40803(情報漏えいに関する脆弱性)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-04 |
| Siemens 社の Apogee PXC および Talon TC シリーズ に情報漏えいに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) 基本値 6.3(AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40757 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-05 |
|
Siemens 社の Industrial Edge Management OS (IEM-OS) に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-48976 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-06 |
| Siemens 社の User Management Component (UMC) に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40795(スタックベースのバッファオーバーフロー)
CVE-2025-40796(境界外読み取り)
CVE-2025-40797(境界外読み取り)
CVE-2025-40798(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-07 |
| Schneider Electric 社の EcoStruxure に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 4.5(AV:A/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 4.1(AV:A/AC:H/AT:N/PR:L/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-8449(リソースの枯渇)
CVE-2025-8448(情報漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-08 |
|
Schneider Electric 社の Modicon M340、BMXNOE0100、および BMXNOE0110 に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-5056 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-09 |
|
ダイキン工業 の Security Gateway にパスワード管理機能に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-10127 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-10 |
|
Schneider Electric 社の Modicon M340 および BMXNOE0100/0110、BMXNOR0200H
に情報漏えいに関する脆弱性
2025年8月21日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ適用、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-12142 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-06 |
2025年9月9日公開
| Rockwell Automation 社の ThinManager にサーバサイドのリクエストフォージェリの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9065 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-01 |
| ABB 社の ASPECT、NEXUS、MATRIX に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-53187(代替パスまたはチャネルを使用した認証回避)
CVE-2025-7677(古典的バッファオーバーフロー)
CVE-2025-7679(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-02 |
| Rockwell Automation 社の Stratix IOS にインジェクションに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.6(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7350 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-03 |
|
Rockwell Automation 社の FactoryTalk Optix に入力確認に関する脆弱性 |
|
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:N/AC:H/AT:P/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9161 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-04 |
|
Rockwell Automation 社の FactoryTalk Activation Manager に認証アルゴリズムの不適切な実装に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7970 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-05 |
|
Rockwell Automation 社の CompactLogix 5480 に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-9160 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-06 |
|
Rockwell Automation 社の ControlLogix 5580 に NULL ポインタデリファレンスに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9166 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-07 |
|
Rockwell Automation 社の Analytics LogixAI に認可されていない制御領域への重要情報の漏えいに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9364 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-08 |
|
Rockwell Automation 社の 1783-NATR にプラットフォームに依存するサードパーティ製コンポーネントの使用に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2020-28895 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-252-09 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite および 三菱電機 の MC Works64 に不適切なデフォルトパーミッションに関する脆弱性
2024年10月22日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-7587 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-296-01 |
|
Schneider Electric 社の Modicon M580 および Modicon Quantum の通信モジュール に境界外書き込みに関する脆弱性
2025年2月27日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2021-29999 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-058-01 |
| EG4 Electronics 社の インバーター EG4 に複数の脆弱性
2025年8月7日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。2025年10月15日までに新たなハードウェアをリリース予定。
CVE-2025-47872:2025年8月14日に対応済み。ユーザの対応不要。
CVE-2025-46414:2025年4月6日に修正プログラムを導入済み。ユーザの対応不要。
CVE-2025-52586:ファームウェア・アップデート
CVE-2025-53520:ファームウェア・アップデート
|
| 脆弱性番号 | CVE-2025-52586(重要な情報の平文での送信)
CVE-2025-53520(ダウンロードしたコードの完全性検証不備)
CVE-2025-47872(観測可能な不一致)
CVE-2025-46414(過度な認証試行の不適切な制限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-07 |
|
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に長さのパラメータの不適切な処理に関する脆弱性
2025年8月21日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応予定なし。リスク緩和策の実施推奨。 |
| 脆弱性番号 | CVE-2025-5514 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-233-01 |
| Delta Electronics 社の EIP Builder に XML 外部エンティティの脆弱性
2025年7月1日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-8007(不適切な入力確認)
CVE-2025-8008(例外的な状態における不適切な処理)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-31 |
2025年9月4日公開
| Honeywell 社の OneWireless Wireless Device Manager (WDM) に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2521(バッファエラー)
CVE-2025-2522(再利用前に削除されていないリソース内重要情報)
CVE-2025-2523(整数アンダーフロー)
CVE-2025-3946(誤ったハンドラの展開)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-247-01 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite および 三菱電機 の MC Works64 に Windows ショートカットのフォローに関する脆弱性
2025年8月5日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N)(CVSSv3) 基本値 4.1(AV:L/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7376 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-01 |
| Delta Electronics 社の COMMGR に暗号の脆弱な PRNG の使用に関する脆弱性
2025年4月15日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(バージョン1はサポート終了のため、予防策を推奨。バージョン2はアップデート) |
| 脆弱性番号 | CVE-2025-3495 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-07 |
|
Honeywell 社の Experion PKS に複数の脆弱性
2025年7月24日 CISA 公開分の更新(Update A)
[更新内容] 研究者名:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2520(初期化されていない変数の使用)
CVE-2025-2521(バッファエラー)
CVE-2025-2522(再利用前に削除されていないリソース内重要情報)
CVE-2025-2523(整数アンダーフロー)
CVE-2025-3946(誤ったハンドラの展開)
CVE-2025-3947(整数アンダーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-03 |
|
End-of-Train and Head-of-Train remote linking protocol に脆弱な認証に関する脆弱性
2025年7月10日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 7.2(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-1727 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10 |
2025年9月2日公開
| Delta Electronics 社の EIP Builder に XML 外部エンティティの脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 6.7(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-57704 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-245-01 |
|
富士電機 の FRENIC-Loader 4 に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-9365 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-245-02 |
| SunPower 社の PVS6 にハードコードされた認証情報の使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.6(AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.4(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-9696 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-245-03 |
|
日立エナジー の Relion 670/650 および SAM600-IO に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
2025年7月1日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2403 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-06 |
2025年8月28日公開
|
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 |
CVE-2025-7405
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-01 |
|
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に重要な情報の平文での送信に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-7731 |
| 参照 | |
|
Schneider Electric 社の Saitel DR RTU および Saitel DP RTU に権限管理に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-8453 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-03 |
| Delta Electronics 社の CNCSoft-G2 に境界外書き込みに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-47728 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-04 |
| Delta Electronics 社の COMMGR に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-53418(スタックベースのバッファオーバーフロー)
CVE-2025-53419(コード・インジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-05 |
| GE Vernova 社の CIMPLICITY に制御されていない検索パスの要素に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7719 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-06 |
|
三菱電機 の 複数のファクトリオートメーションエンジニアリングソフトウェア製品に複数の脆弱性
2024年5月14日 CISA 公開分の更新(Update D)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.0(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 4.4(AV:L/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-51776(不適切な権限管理)
CVE-2023-51777(リソースの枯渇)
CVE-2023-51778(境界外書き込み)
CVE-2024-22102(リソースの枯渇)
CVE-2024-22103(境界外書き込み)
CVE-2024-22104(境界外書き込み)
CVE-2024-22105(リソースの枯渇)
CVE-2024-22106(不適切な権限管理)
CVE-2024-25086(不適切な権限管理)
CVE-2024-25087(リソースの枯渇)
CVE-2024-25088(不適切な権限管理)
CVE-2024-26314(不適切な権限管理)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite および 三菱電機 の MC Works64 に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
|
日立エナジー の Relion 670/650 および SAM600-IO に例外的な状態のチェックに関する脆弱性
2025年7月3日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-1718 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-01 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。