English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2025年9月8日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2025年9月4日公開
| Honeywell 社の OneWireless Wireless Device Manager (WDM) に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2521(バッファエラー)
CVE-2025-2522(再利用前に削除されていないリソース内重要情報)
CVE-2025-2523(整数アンダーフロー)
CVE-2025-3946(誤ったハンドラの展開)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-247-01 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite および 三菱電機 の MC Works64 に Windows ショートカットのフォローに関する脆弱性
2025年8月5日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N)(CVSSv3) 基本値 4.1(AV:L/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7376 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-01 |
| Delta Electronics 社の COMMGR に暗号の脆弱な PRNG の使用に関する脆弱性
2025年4月15日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(バージョン1はサポート終了のため、予防策を推奨。バージョン2はアップデート) |
| 脆弱性番号 | CVE-2025-3495 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-07 |
|
Honeywell 社の Experion PKS に複数の脆弱性
2025年7月24日 CISA 公開分の更新(Update A)
[更新内容] 研究者名:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2520(初期化されていない変数の使用)
CVE-2025-2521(バッファエラー)
CVE-2025-2522(再利用前に削除されていないリソース内重要情報)
CVE-2025-2523(整数アンダーフロー)
CVE-2025-3946(誤ったハンドラの展開)
CVE-2025-3947(整数アンダーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-03 |
|
End-of-Train and Head-of-Train remote linking protocol に脆弱な認証に関する脆弱性
2025年7月10日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 7.2(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-1727 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10 |
2025年9月2日公開
| Delta Electronics 社の EIP Builder に XML 外部エンティティの脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 6.7(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-57704 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-245-01 |
|
富士電機 の FRENIC-Loader 4 に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-9365 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-245-02 |
| SunPower 社の PVS6 にハードコードされた認証情報の使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.6(AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.4(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-9696 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-245-03 |
|
日立エナジー の Relion 670/650 および SAM600-IO に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
2025年7月1日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2403 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-06 |
2025年8月28日公開
|
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 |
CVE-2025-7405
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-01 |
|
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に重要な情報の平文での送信に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-7731 |
| 参照 | |
|
Schneider Electric 社の Saitel DR RTU および Saitel DP RTU に権限管理に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-8453 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-03 |
| Delta Electronics 社の CNCSoft-G2 に境界外書き込みに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-47728 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-04 |
| Delta Electronics 社の COMMGR に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-53418(スタックベースのバッファオーバーフロー)
CVE-2025-53419(コード・インジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-05 |
| GE Vernova 社の CIMPLICITY に制御されていない検索パスの要素に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7719 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-240-06 |
|
三菱電機 の 複数のファクトリオートメーションエンジニアリングソフトウェア製品に複数の脆弱性
2024年5月14日 CISA 公開分の更新(Update D)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.0(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 4.4(AV:L/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-51776(不適切な権限管理)
CVE-2023-51777(リソースの枯渇)
CVE-2023-51778(境界外書き込み)
CVE-2024-22102(リソースの枯渇)
CVE-2024-22103(境界外書き込み)
CVE-2024-22104(境界外書き込み)
CVE-2024-22105(リソースの枯渇)
CVE-2024-22106(不適切な権限管理)
CVE-2024-25086(不適切な権限管理)
CVE-2024-25087(リソースの枯渇)
CVE-2024-25088(不適切な権限管理)
CVE-2024-26314(不適切な権限管理)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite および 三菱電機 の MC Works64 に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
|
日立エナジー の Relion 670/650 および SAM600-IO に例外的な状態のチェックに関する脆弱性
2025年7月3日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-1718 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-01 |
2025年8月26日公開
| INVT 社の VT-Designer および HMITool に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-7223(境界外書き込み)
CVE-2025-7224(境界外書き込み)
CVE-2025-7225(境界外書き込み)
CVE-2025-7226(境界外書き込み)
CVE-2025-7227(境界外書き込み)
CVE-2025-7228(境界外書き込み)
CVE-2025-7229(境界外書き込み)
CVE-2025-7230(型の取り違え)
CVE-2025-7231(境界外書き込み)
|
| 参照 | |
|
Schneider Electric 社の Modicon M340 および 通信モジュール に入力確認に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップグレード、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-6625 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-238-03 |
| Danfoss 社の AK-SM 8xxA シリーズ に複数の脆弱性
2025年5月20日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:H/AT:P/PR:H/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-41450(不適切な認証)
CVE-2025-41451(コマンドインジェクション)
CVE-2025-41452(システム構成または設定の外部制御)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-03 |
2025年8月21日公開
|
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に長さのパラメータの不適切な処理に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応予定なし。リスク緩和策の実施推奨。 |
| 脆弱性番号 | CVE-2025-5514 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-233-01 |
|
三菱電機 の 空調管理システムに重要な機能に対する認証の欠如に関する脆弱性
2025年8月5日 CISA 公開分の更新(Update A)
[更新内容] リスクと脆弱性の説明:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。それまではリスク緩和策の実施推奨。 |
| 脆弱性番号 | CVE-2025-3699 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-177-01 |
|
FUJIFILM Healthcare Americas 社の Synapse Mobility に不変と仮定される Web パラメータの外部制御に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 4.3(AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-54551 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-233-01 |
2025年8月19日公開
|
Siemens 社の Desigo CC 製品ファミリ および SENTRON Powermanager に最小権限の違反に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-47809 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-231-01 |
| Siemens 社の Mendix SAML Module にデジタル署名の検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.7(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40758 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-231-02 |
| Tigo Energy 社の Cloud Connect Advanced に複数の脆弱性
2025年8月5日 CISA 公開分の更新(Update A)
[更新内容] 攻撃コード:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 有り |
| 対策 | ベンダ対応中 |
| 脆弱性番号 | CVE-2025-7768(ハードコードされた認証情報の使用)
CVE-2025-7769(コマンドインジェクション)
CVE-2025-7770(PRNG の予測可能なシード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-02 |
|
EG4 Electronics 社の インバーター EG4 に複数の脆弱性
2025年8月7日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。2025年10月15日までに新たなハードウェアをリリース予定。
CVE-2025-47872:2025年8月14日に対応済み。ユーザの対応不要。
CVE-2025-46414:2025年4月6日に修正プログラムを導入済み。ユーザの対応不要。
|
| 脆弱性番号 | CVE-2025-52586(重要な情報の平文での送信)
CVE-2025-53520(ダウンロードしたコードの完全性検証不備)
CVE-2025-47872(観測可能な不一致)
CVE-2025-46414(過度な認証試行の不適切な制限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-07 |
2025年8月14日公開
| Siemens 社の SIMATIC RTLS Locating Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.3(AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-30034(到達可能なアサーション)
CVE-2025-40751(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-01 |
| Siemens 社の COMOS に境界外書き込みに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-8894 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-02 |
|
Siemens 社の Engineering Platforms に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-54678 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-03 |
| Siemens 社の Simcenter Femap に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40762(境界外書き込み)
CVE-2025-40764(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-04 |
| Siemens 社の Wibu CodeMeter Runtime に最小権限の違反に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-47809 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-05 |
| Siemens 社の Opcenter Quality に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.1(AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-41979(不正な認証)
CVE-2024-41980(重要なデータの暗号化の欠如)
CVE-2024-41982(重要なデータの暗号化の欠如)
CVE-2024-41983(エラーメッセージによる情報漏えい)
CVE-2024-41984(エラーメッセージによる情報漏えい)
CVE-2024-41985(不適切なセッション期限)
CVE-2024-41986(不完全、または危険な暗号アルゴリズムの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-06 |
|
Siemens 社の SINEC OS のサードパーティ製コンポーネントに複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2021-47316(不適切な入力確認)他、計489個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-07 |
|
Siemens 社の RUGGEDCOM CROSSBOW Station Access Controller (SAC) に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-3277(ヒープベースのバッファオーバーフロー)
CVE-2025-29087(整数オーバーフローまたはラップアラウンド)
CVE-2025-29088(整数オーバーフローまたはラップアラウンド)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-08 |
|
Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.5(AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-13089(OSコマンドインジェクション)
CVE-2024-13090(不要な特権による実行)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-09 |
| Siemens 社の SIPROTEC 5 に制限またはスロットリング無しのリソースの割り当てに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 2.4(AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 2.4(AV:P/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40570 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-10 |
| Siemens 社の SIMATIC S7-PLCSIM に信頼性のないデータのデシリアライゼーションに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40759 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-11 |
| Siemens 社の SIPROTEC 4 および SIPROTEC 4 Compact に例外的な状態のチェックに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-52504 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-12 |
| Siemens 社の SIMATIC RTLS Locating Manager に入力確認に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.4(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40746 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-13 |
|
Siemens 社の RUGGEDCOM ROX II ファミリ に危険なタイプのファイルの無制限アップロードに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 4.1(AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N)(CVSSv3) 基本値 5.1(AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-33023 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-14 |
| Siemens 社の SINEC OS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2021-44879(NULLポインタデリファレンス)他、計163個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-15 |
|
Siemens 社の SICAM Q100/Q200 に重要な情報の平文保存に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.2(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40752、CVE-2025-40753 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-16 |
|
Siemens 社の SINEC Traffic Analyzer に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.8(AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-24989(NULLポインタデリファレンス)
CVE-2024-24990(解放済みメモリの使用)
CVE-2025-40766(リソースの枯渇)
CVE-2025-40767(不要な特権による実行)
CVE-2025-40768(情報漏えい)
CVE-2025-40769(重要ではないコード)
CVE-2025-40770(中間者の問題)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-17 |
|
Siemens 社の SIMOTION SCOUT、SIMOTION SCOUT TIA、SINAMICS STARTER に XML 外部エンティティの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40584 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-18 |
| Siemens 社の SINUMERIK に代替パスまたはチャネルを使用した認証回避に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) 基本値 8.7(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40743 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-19 |
| Siemens 社の RUGGEDCOM ROX II ファミリ に代替パスまたはチャネルを使用した認証回避に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.6(AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40761 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-20 |
| Siemens 社の BFCClient に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2021-3711(古典的バッファオーバーフロー)
CVE-2021-3712(境界外読み取り)
CVE-2022-0778(無限ループ)
CVE-2023-0286(型の取り違え)
CVE-2023-0464(不正な証明書検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-21 |
| Siemens 社の Web Installer に制御されていない検索パスの要素に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-30033 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-22 |
| Rockwell Automation 社の FactoryTalk Viewpoint に不要な特権による実行に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7973 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-23 |
| Rockwell Automation 社の FactoryTalk Linx にアクセス制御に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.0(AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7972 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-24 |
|
Rockwell Automation 社の Micro800 に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2023-48691(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2023-48692(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2023-48693(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2025-7693(不適切な入力確認)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-25 |
|
Rockwell Automation 社の FLEX 5000 I/O に入力確認に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7861、CVE-2025-7862 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-26 |
|
Rockwell Automation 社の ArmorBlock 5000 I/O に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7773(不正な認証)
CVE-2025-7774(不適切な認証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-27 |
| Rockwell Automation 社の ControlLogix Ethernet Modules にリソースの安全ではないデフォルト値への初期化に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7353 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-28 |
| Rockwell Automation 社の Studio 5000 Logix Designer に入力確認に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7971 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-29 |
| Rockwell Automation 社の FactoryTalk Action Manager に情報漏えいに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-9036 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-30 |
| Rockwell Automation 社の 1756-ENT2R、1756-EN4TR、1756-EN4TRXT に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-8007(不適切な入力確認)
CVE-2025-8008(例外的な状態における不適切な処理)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-31 |
|
Güralp Systems 社の 地震監視デバイス Güralp FMUS シリーズ および MIN シリーズ に重要な機能に対する認証の欠如に関する脆弱性
2025年7月31日 CISA 公開分の更新(Update A)
[更新内容] タイトル/影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-8286 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-212-01 |
2025年8月12日公開
| Ashlar-Vellum 社の Cobalt、Xenon、Argon、Lithium、および Cobalt Share に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-53705(境界外書き込み)
CVE-2025-41392(境界外読み取り)
CVE-2025-52584(ヒープベースのバッファオーバーフロー)
CVE-2025-46269(ヒープベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-01 |
| Johnson Controls 社の iSTAR Ultra、iSTAR Ultra SE、iSTAR Ultra G2、iSTAR、ULTRA G2 SE、および iSTAR Edge G2 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-53695(OSコマンドインジェクション)
CVE-2025-53696(データの信頼性についての不十分な検証)
CVE-2025-53697(デフォルトの認証情報の使用)
CVE-2025-53698(代替ハードウェアインターフェースの保護メカニズムの欠如)
CVE-2025-53699(代替ハードウェアインターフェースの保護メカニズムの欠如)
CVE-2025-53700(重要情報のセキュアでない保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-02 |
| Schneider Electric 社の EcoStruxure Power Monitoring Expert に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 脆弱性が修正された製品 PME 2024 R3 を2025年11月11日リリース予定。それまではリスク緩和策。 |
| 脆弱性番号 | CVE-2025-54926(パス・トラバーサル)
CVE-2025-54927(パス・トラバーサル)
CVE-2025-54923(信頼性のないデータのデシリアライゼーション)
CVE-2025-54924(サーバーサイドのリクエストフォージェリ)
CVE-2025-54925(サーバーサイドのリクエストフォージェリ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-03 |
| AVEVA 社の PI Integrator に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.6(AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:L)(CVSSv3)
基本値 7.1(AV:N/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:L/SC:H/SI:H/SA:H)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-54460(危険なタイプのファイルの無制限アップロード)
CVE-2025-41415(送信データからの重要情報の漏えい)
|
| 参照 | |
|
MegaSys Computer Technologies 社の Telenium Online Web Application に入力確認に関する脆弱性
2024年9月19日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ) |
| 脆弱性番号 | CVE-2025-8769 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-04 |
| End-of-Train and Head-of-Train remote linking protocol に脆弱な認証に関する脆弱性
2025年7月10日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3)
基本値 7.2(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-1727 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10 |
| Santesoft 社の Sante PACS Server に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3)
基本値 9.1(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-0572 (パス・トラバーサル)
CVE-2025-53948(二重解放)
CVE-2025-54156(重要な情報の平文での送信)
CVE-2025-54862(クロスサイトスクリプティング)
CVE-2025-54759(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-224-01 |
2025年8月7日公開
| Delta Electronics 社のDIAView にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-53417 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-01 |
|
Johnson Controls 社の FX80 および FX90 に脆弱なサードパーティ製コンポーネントへの依存に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.7(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) 基本値 8.4(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:H/SC:H/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-43867 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-02 |
| Burk Technology 社の ARC Solo に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-5095 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-03 |
| Rockwell Automation 社の Arena に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7025(ハードコードされた認証情報の使用)
CVE-2025-7032(コマンドインジェクション)
CVE-2025-7033(PRNG の予測可能なシード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-04 |
| Packet Power 社の EMX および EG に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-8284 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-05 |
|
Dreame Technology 社の モバイルアプリ Dreamehome および MOVAhome に証明書検証に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 8.5(AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-8393 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-06 |
| EG4 Electronics 社の インバーター EG4 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。2025年10月15日までに新たなハードウェアをリリース予定。 |
| 脆弱性番号 | CVE-2025-52586(重要な情報の平文での送信)
CVE-2025-53520(ダウンロードしたコードの完全性検証不備)
CVE-2025-47872(観測可能な不一致)
CVE-2025-46414(過度な認証試行の不適切な制限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-07 |
| Yealink 社の IP 電話 および RPS (Redirect and Provisioning Service) に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.0(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-52916(過度な認証試行の不適切な制限)
CVE-2025-52917(制限またはスロットリング無しのリソースの割り当て)
CVE-2025-52918(不正な認証)
CVE-2025-52919(不正な証明書検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-08 |
| Instantel 社の Micromate に重要な機能に対する認証の欠如に関する脆弱性 2025年5月29日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-1907 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-148-04 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite
および 三菱電機 の MC Works64 に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update A)
[更新内容] CVSSスコア/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。