情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2025年8月18日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

  1. (脚注1)
    本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

2025年8月12日公開

アドバイザリ
Ashlar-Vellum 社の Cobalt、Xenon、Argon、Lithium、および Cobalt Share に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-53705(境界外書き込み)
CVE-2025-41392(境界外読み取り)
CVE-2025-52584(ヒープベースのバッファオーバーフロー)
CVE-2025-46269(ヒープベースのバッファオーバーフロー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-01
アドバイザリ
Johnson Controls 社の iSTAR Ultra、iSTAR Ultra SE、iSTAR Ultra G2、iSTAR、ULTRA G2 SE、および iSTAR Edge G2 に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2025-53695(OSコマンドインジェクション)
CVE-2025-53696(データの信頼性についての不十分な検証)
CVE-2025-53697(デフォルトの認証情報の使用)
CVE-2025-53698(代替ハードウェアインターフェースの保護メカニズムの欠如)
CVE-2025-53699(代替ハードウェアインターフェースの保護メカニズムの欠如)
CVE-2025-53700(重要情報のセキュアでない保存)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-02

アドバイザリ
Schneider Electric 社の EcoStruxure Power Monitoring Expert に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 脆弱性が修正された製品 PME 2024 R3 を2025年11月11日リリース予定。それまではリスク緩和策。
脆弱性番号 CVE-2025-54926(パス・トラバーサル)
CVE-2025-54927(パス・トラバーサル)
CVE-2025-54923(信頼性のないデータのデシリアライゼーション)
CVE-2025-54924(サーバーサイドのリクエストフォージェリ)
CVE-2025-54925(サーバーサイドのリクエストフォージェリ)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-03
アドバイザリ
AVEVA 社の PI Integrator に複数の脆弱性
深刻度 基本値 7.6(AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-54460(危険なタイプのファイルの無制限アップロード)
CVE-2025-41415(送信データからの重要情報の漏えい)
参照
 
アドバイザリ【更新】
MegaSys Computer Technologies 社の Telenium Online Web Application に入力確認に関する脆弱性
2024年9月19日 CISA 公開分の更新(Update A
[更新内容] 脆弱性番号:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(パッチ)
脆弱性番号 CVE-2025-8769
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-04
アドバイザリ【更新】
End-of-Train and Head-of-Train remote linking protocol に脆弱な認証に関する脆弱性 
2025年7月10日 CISA 公開分の更新(Update A
[更新内容] 影響を受ける製品:情報更新
深刻度 基本値 8.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2025-1727
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10

メディカルアドバイザリ
Santesoft 社の Sante PACS Server に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-0572 (パス・トラバーサル)
CVE-2025-53948(二重解放)
CVE-2025-54156(重要な情報の平文での送信)
CVE-2025-54862(クロスサイトスクリプティング)
CVE-2025-54759(クロスサイトスクリプティング)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-224-01
 

2025年8月7日公開

アドバイザリ
Delta Electronics 社のDIAView にパストラバーサルの脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-53417
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-01
アドバイザリ
Johnson Controls 社の FX80 および FX90 に脆弱なサードパーティ製コンポーネントへの依存に関する脆弱性
深刻度 基本値 7.7(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)(CVSSv3
基本値 8.4(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:H/SC:H/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-43867
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-02
アドバイザリ
Burk Technology 社の ARC Solo に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-5095
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-03
アドバイザリ
Rockwell Automation 社の Arena に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-7025(ハードコードされた認証情報の使用)
CVE-2025-7032(コマンドインジェクション)
CVE-2025-7033(PRNG の予測可能なシード)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-04
アドバイザリ
Packet Power 社の EMX および EG に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-8284
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-05
アドバイザリ
Dreame Technology 社の モバイルアプリ Dreamehome および MOVAhome に証明書検証に関する脆弱性
深刻度 基本値 7.3(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3
基本値 8.5(AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2025-8393
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-06
アドバイザリ
EG4 Electronics 社の インバーター EG4 に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダ対応中。2025年10月15日までに新たなハードウェアをリリース予定。
脆弱性番号 CVE-2025-52586(重要な情報の平文での送信)
CVE-2025-53520(ダウンロードしたコードの完全性検証不備)
CVE-2025-47872(観測可能な不一致)
CVE-2025-46414(過度な認証試行の不適切な制限)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-07
アドバイザリ
Yealink 社の IP 電話 および RPS (Redirect and Provisioning Service) に複数の脆弱性
深刻度 基本値 5.0(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N)(CVSSv3
基本値 5.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-52916(過度な認証試行の不適切な制限)
CVE-2025-52917(制限またはスロットリング無しのリソースの割り当て)
CVE-2025-52918(不正な認証)
CVE-2025-52919(不正な証明書検証) 
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-08
アドバイザリ【更新】
Instantel 社の Micromate に重要な機能に対する認証の欠如に関する脆弱性
2025年5月29日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-1907
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-148-04
アドバイザリ【更新】
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite
および 三菱電機 の MC Works64  に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update A)
[更新内容] CVSSスコア/影響を受ける製品/対策:情報更新
深刻度 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3
基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2025-0921
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04

2025年8月5日公開

アドバイザリ
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite および 三菱電機 の MC Works64  に Windows ショートカットのフォローに関する脆弱性
深刻度 基本値 5.9(AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N)(CVSSv3
基本値 4.1(AV:L/AC:L/AT:P/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2025-7376
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-01
アドバイザリ
Tigo Energy 社の Cloud Connect Advanced に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダ対応中
脆弱性番号 CVE-2025-7768(ハードコードされた認証情報の使用)
CVE-2025-7769(コマンドインジェクション)
CVE-2025-7770(PRNG の予測可能なシード)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-02

2025年7月31日公開

アドバイザリ
Güralp Systems 社の 地震監視デバイス Güralp FMUS シリーズ に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2025-8286
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-212-01
アドバイザリ
Rockwell Automation 社の VMware によるライフサイクル サービス に複数の脆弱性
深刻度 基本値 9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 9.4(AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 サービス契約を締結しているユーザにはベンダから連絡予定。その他ユーザはアドバイザリを参照。
脆弱性番号 CVE-2025-41236(境界外書き込み)
CVE-2025-41237(境界外書き込み)
CVE-2025-41238(境界外書き込み)
CVE-2025-41239(初期化されていないリソースの使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-212-02

2025年7月29日公開

アドバイザリ
National Instruments 社の LabVIEW に バッファエラーの脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.1(AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(パッチ)
脆弱性番号 CVE-2025-2633、CVE-2025-2634
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-210-01
アドバイザリ
Samsung 社の HVAC DMS に複数の脆弱性
深刻度 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3
基本値 7.5(AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2025-53077(リダイレクト後の実行 (EAR))
CVE-2025-53078(信頼性のないデータのデシリアライゼーション)
CVE-2025-53079(絶対パストラバーサル)
CVE-2025-53080(境界外書き込み)
CVE-2025-53081(パス・トラバーサル)
CVE-2025-53082(相対パストラバーサル)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-210-02
アドバイザリ
Delta Electronics 社の DTN Soft に信頼性のないデータのデシリアライゼーションに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-53416
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-210-03
アドバイザリ【更新】
Johnson Controls 社の Software House iStar Pro Door Controller に重要な機能に対する認証の欠如に関する脆弱性
2024年6月6日 CISA 公開分の更新(Update A
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 最新世代のiSTARドアコントローラへの交換推奨。
脆弱性番号 CVE-2024-32752
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-04
アドバイザリ【更新】
富士電機 の遠隔監視ソフトウェア Tellus Lite V-Simulator に境界外書き込みに関する脆弱性 
2024年12月3日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
深刻度 基本値 7.8(V:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CCVE-2024-11799、CVE-2024-11800、CVE-2024-11801、CVE-2024-11802、CVE-2024-11803
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-06

2025年7月24日公開

アドバイザリ
三菱電機 の CNC シリーズ に制御されていない検索パスの要素に関する脆弱性
深刻度 基本値 7.0(AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2016-2542
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-01
アドバイザリ
Network Thermostat 社の WiFi サーモスタット X シリーズ に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-6260
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-02
アドバイザリ
Honeywell 社の Experion PKS に複数の脆弱性
深刻度 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-2520(初期化されていない変数の使用)
CVE-2025-2521(バッファエラー)
CVE-2025-2522(再利用前に削除されていないリソース内重要情報)
CVE-2025-2523(整数アンダーフロー)
CVE-2025-3946(誤ったハンドラの展開)
CVE-2025-3947(整数アンダーフロー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-03
アドバイザリ
LG Innotek 社の ネットワークカメラ LNV5110R に代替パスまたはチャネルを使用した認証回避に関する脆弱性
深刻度 基本値 7.0(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3
基本値 8.3(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 販売・サポート終了製品のため無し。
脆弱性番号 CVE-2025-7742
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-04
メディカルアドバイザリ
Medtronic 社の MyCareLink Patient Monitor に複数の脆弱性
深刻度 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.0(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-4394(重要な情報の平文保存)
CVE-2025-4395(設定ファイル内の空のパスワード)
CVE-2025-4393(信頼性のないデータのデシリアライゼーション)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-205-01
アドバイザリ【更新】
ICONICS 社 の ICONICS Product Suite および 三菱電機 の MC Works64 に複数の脆弱性 
2022年7月26日 CISA 公開分の更新(Update A)
[更新内容] 深刻度/影響を受ける製品/対策:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2022-29834(パス・トラバーサル)
CVE-2022-33315(信頼性のないデータのデシリアライゼーション)
CVE-2022-33317(信頼性のない制御領域からの機能の組み込み)
CVE-2022-33318(信頼性のないデータのデシリアライゼーション)
CVE-2022-33319(境界外読み取り)
CVE-2022-33320(信頼性のないデータのデシリアライゼーション)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-22-202-04

2025年7月22日公開

アドバイザリ
DuraComm Corporation 社の DP-10iN-100-MU に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-41425(クロスサイトスクリプティング)
CVE-2025-48733(重要な機能に対する認証の欠如)
CVE-2025-53703(重要な情報の平文での送信)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-01
アドバイザリ
Lantronix 社の Provisioning Manager に XML 外部エンティティの脆弱性
深刻度 基本値 8.0(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-7766
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-02
アドバイザリ
Schneider Electric 社の EcoStruxure に XML 外部エンティティの脆弱性
深刻度 基本値 4.3(AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)(CVSSv3
基本値 5.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-6788
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-03
アドバイザリ
Schneider Electric 社の EcoStruxure Power Operation に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(パッチ適用、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-50447(evalインジェクション)
CVE-2024-28219(整数オーバーフローの発生によるバッファオーバーフロー)
CVE-2022-45198(高圧縮データの不適切な処理 (データ増幅))
CVE-2023-5217(境界外書き込み)
CVE-2023-35945(リソースの枯渇)
CVE-2023-44487(リソースの枯渇)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-04
アドバイザリ
Schneider Electric 社の System Monitor Application にクロスサイトスクリプティングの脆弱性
深刻度 基本値 6.9(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2020-11023
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-05
アドバイザリ
Schneider Electric 社の EcoStruxure IT Data Center Expert に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 9.5(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-50121(OSコマンドインジェクション)
CVE-2025-50122(エントロピー不足)
CVE-2025-50123(コード・インジェクション)
CVE-2025-50125(サーバーサイドのリクエストフォージェリ)
CVE-2025-50124(不適切な権限管理)
CVE-2025-6438(XML外部エンティティ参照の不適切な制限)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-06
アドバイザリ【更新】
Schneider Electric 社の PLC 製品 Modicon に複数の脆弱性
2025年6月24日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-3898(不適切な入力確認)
CVE-2025-3899(クロスサイトスクリプティング)
CVE-2025-3112(リソースの枯渇)
CVE-2025-3905(クロスサイトスクリプティング)
CVE-2025-3116(不適切な入力確認)
CVE-2025-3117(クロスサイトスクリプティング)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-03
アドバイザリ【更新】
Schneider Electric 社の EVLink WallBox に複数の脆弱性
2025年6月24日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性の詳細:情報更新
深刻度 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 リスク緩和策。販売・サポート終了のため、後継製品EVLink Pro ACへのアップグレード推奨。
脆弱性番号 CVE-2025-5740(パス・トラバーサル)
CVE-2025-5741(パス・トラバーサル)
CVE-2025-5742(クロスサイトスクリプティング)
CVE-2025-5743(OSコマンドインジェクション)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-04
アドバイザリ【更新】
Schneider Electric 社の Vijeo Designer および EcoStruxure Machine Expert に権限管理に関する脆弱性
2025年1月14日 CISA 公開分の更新(Update A)
[更新内容] タイトル/影響を受ける製品/対策:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-8306
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-02

2025年7月17日公開

アドバイザリ
Leviton 社の AcquiSuite および Energy Monitoring Hub にクロスサイトスクリプティングの脆弱性
深刻度 基本値 9.3(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2025-6185
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-198-01
メディカルアドバイザリ
Panoramic Corporation 社の Digital Imaging Software に制御されていない検索パスの要素に関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2024-22774
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-198-01
アドバイザリ【更新】
Johnson Controls 社の Software House C・CURE 9000 に不適切なデフォルトパーミッションに関する脆弱性
2024年7月9日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-32861
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-05

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
 (検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
 (検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
 (検索例:過去のICS Alert

■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。