情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2025年5月19日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

  1. (脚注1)
    本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

2025年5月15日公開

アドバイザリ
Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性
深刻度 基本値 3.7(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-32122(認証情報の不十分な保護)
CVE-2024-52963(境界外書き込み)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-01
アドバイザリ
Siemens 社の INTRALOG WMS に複数の脆弱性 
深刻度 基本値 8.7(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2024-0056(重要な情報の平文での送信)
CVE-2024-20672(リソースの枯渇)
CVE-2024-30105(リソースの枯渇)
CVE-2024-35264(解放済みメモリの使用)
CVE-2024-38081(リンク解釈の問題)
CVE-2024-38095(不適切な入力確認)
CVE-2024-43483(アルゴリズムの複雑性)
CVE-2024-43485(アルゴリズムの複雑性)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-02
アドバイザリ
Siemens 社の BACnet ATEC に入力確認に関する脆弱性
深刻度 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 7.1(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2025-40556
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-03
アドバイザリ
Siemens 社の Desigo に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-23815
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-04
アドバイザリ
Siemens 社の SIPROTEC 5 および SICAM に通信チャネルで送信中のメッセージの整合性への不適切な強制に関する脆弱性
深刻度 基本値 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-3596
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-05
アドバイザリ
Siemens 社の Teamcenter Visualization に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-32454
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-06
アドバイザリ
Siemens 社の IPC RS-828A にスプーフィングによる認証回避に関する脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2024-54085
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-07
アドバイザリ
Siemens 社の EV 充電器 VersiCharge に複数の脆弱性
深刻度 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-31929(ハードウェアの不変の信頼の基点(Root of Trust)の欠如)
CVE-2025-31930(リソースの安全ではないデフォルト値への初期化)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-08
アドバイザリ
Siemens 社の User Management Component (UMC) に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-30174(境界外読み取り)
CVE-2025-30175(境界外書き込み)
CVE-2025-30176(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-09
アドバイザリ
Siemens 社の OZW Web サーバ に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-26389(OSコマンドインジェクション)
CVE-2025-26390(SQLインジェクション)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-10
アドバイザリ
Siemens 社の Polarion に複数の脆弱性
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-51444(SQLインジェクション)
CVE-2024-51445(XML外部エンティティ参照の不適切な制限)
CVE-2024-51446(クロスサイトスクリプティング)
CVE-2024-51447(リクエストに対するレスポンス内容の違いに起因する情報漏えい)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-11
アドバイザリ
Siemens 社の SIMATIC PCS neo にセッション期限に関する脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2025-40566
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-12
アドバイザリ
Siemens 社の SIRIUS 3RK3 Modular Safety System (MSS) および SIRIUS Safety Relays 3SK2 に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-24007(不完全、または危険な暗号アルゴリズムの使用)
CVE-2025-24008(重要なデータの暗号化の欠如)
CVE-2024-51446(重要なリソースに対する不適切なパーミッションの割り当て)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-13
アドバイザリ
Siemens 社の APOGEE PXC および TALON TC シリーズ に予期せぬ動作に関する脆弱性
深刻度 基本値 4.7(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L)(CVSSv3
基本値 5.3(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-40555
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-14
アドバイザリ
Siemens 社の Mendix OIDC SSO に不適切な権限設定に関する脆弱性
深刻度 基本値 2.2(AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N)(CVSSv3
基本値 2.1(AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-40571
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-15
アドバイザリ
Siemens 社の MS/TP Point Pickup Module に入力確認に関する脆弱性
深刻度 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-24510
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-16
アドバイザリ
Siemens 社の RUGGEDCOM ROX II にサーバ側のセキュリティのクライアント側での実施に関する脆弱性
深刻度 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-32469、CVE-2025-33024、CVE-2025-33025 
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-17
アドバイザリ
Siemens 社の SCALANCE LPE9403 に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-40572(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2025-40573(パストラバーサル '.../...//')
CVE-2025-40574(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2025-40575(初期化されていない変数の使用)
CVE-2025-40576(NULLポインタデリファレンス)
CVE-2025-40577(境界外読み取り)
CVE-2025-40578(境界外読み取り)
CVE-2025-40579(スタックベースのバッファオーバーフロー)
CVE-2025-40580(スタックベースのバッファオーバーフロー)
CVE-2025-40581(代替パスまたはチャネルを使用した認証回避)
CVE-2025-40582(OSコマンドインジェクション)
CVE-2025-40583(重要な情報の平文での送信)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-18
アドバイザリ
ECOVACS 社の ロボット掃除機 DEEBOT および ベースステーションに複数の脆弱性 
深刻度 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-30198(ハードコードされた暗号鍵の使用)
CVE-2025-30199(ダウンロードしたコードの完全性検証不備)
CVE-2025-30200(ハードコードされた暗号鍵の使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-19
アドバイザリ
Schneider Electric 社の EcoStruxure Power Build Rapsody にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 5.3(AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-3916
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-20
 
 
 
 
アドバイザリ【更新】
三菱電機 の 複数のファクトリオートメーションエンジニアリングソフトウェア製品 に複数の脆弱性
2024年5月14日 CISA 公開分の更新(Update C
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 6.0(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2023-51776(不適切な権限管理)
CVE-2023-51777(リソースの枯渇)
CVE-2023-51778(境界外書き込み)
CVE-2024-22102(リソースの枯渇)
CVE-2024-22103(境界外書き込み)
​​​​CVE-2024-22104(境界外書き込み)
CVE-2024-22105(リソースの枯渇)
CVE-2024-22106(不適切な権限管理)
CVE-2024-25086(不適切な権限管理)
CVE-2024-25087(リソースの枯渇)
CVE-2024-25088(不適切な権限管理)
CVE-2024-26314(不適切な権限管理)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04
アドバイザリ【更新】
三菱電機 の MELSOFT MaiLab にデジタル署名の検証に関する脆弱性
2024年7月18日 CISA 公開分の更新(Update A
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2023-4807
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-200-01

2025年5月13日公開

アドバイザリ
日立エナジー の Service Suite に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2022-31813(信頼性の低い送信元の使用)
CVE-2023-25690(HTTP リクエストスマグリング)
CVE-2022-28615(整数オーバーフローまたはラップアラウンド)
CVE-2022-36760(HTTP リクエストスマグリング)
CVE-2023-27522(HTTP リクエストスマグリング)
CVE-2006-20001(境界外書き込み)
CVE-2022-29404(制限またはスロットリング無しのリソースの割り当て)
CVE-2022-30556(解放済みメモリの使用)
CVE-2022-30522(情報漏えい)
CVE-2022-26377(HTTP リクエストスマグリング)
CVE-2023-31122(境界外読み取り)
CVE-2023-43622(リソースの枯渇)
CVE-2023-45802(リソースの不適切なシャットダウンおよびリリース)
CVE-2022-37436(HTTPレスポンスの分割)
CVE-2022-28614(情報漏えい)
CVE-2022-28330(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-01
アドバイザリ
日立エナジー の Relion 670/650/SAM600-IO シリーズ に古典的バッファオーバーフローの脆弱性
深刻度 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 7.1(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2023-4518
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-02
アドバイザリ
日立エナジー の Automation Builder に複数の脆弱性
深刻度 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 9.4(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード、パッチ適用、リスク緩和策)
脆弱性番号 CVE-2024-4872(データクエリロジックの特殊要素の不適切な中立化)
CVE-2024-3980(パス・トラバーサル)
CVE-2024-3982(キャプチャリプレイによる認証回避)
CVE-2024-7940(重要な機能に対する認証の欠如)
参照
アドバイザリ
ABB 社の Automation Builder に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-3394、CVE-2025-3395
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-04
 

2025年5月8日公開

アドバイザリ
Horner Automation 社の Cscape に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-4098
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-01
アドバイザリ
日立エナジー の RTU500 シリーズ に複数の脆弱性
深刻度 基本値 6.0(AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:L)(CVSSv3
基本値 8.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2023-5767(クロスサイトスクリプティング)
CVE-2023-5768(入力で指定されたインデックス、位置、またはオフセットの不適切な検証)
CVE-2023-5769(クロスサイトスクリプティング)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-02
アドバイザリ
三菱電機 の CC-Link IE TSN に入力で指定された数量の不適切な検証に関する脆弱性
深刻度 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 8.2(AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2025-3511
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-03
アドバイザリ【更新】
日立エナジー の RTU500 シリーズ に複数の脆弱性
2025年4月3日 CISA 公開分の更新(Update A
[更新内容] 対策:情報更新
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-10037(NULLポインタデリファレンス)
CVE-2024-11499(NULLポインタデリファレンス)
CVE-2024-12169(不十分なリソースプール)
CVE-2025-1445(同期の欠如)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-01
メディカルアドバイザリ
Pixmeo の OsiriX MD に複数の脆弱性 
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2025-27578(解放済みメモリの使用)
CVE-2025-31946(解放済みメモリの使用)
CVE-2025-27720(重要な情報の平文での送信)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-128-01
 

2025年5月6日公開

アドバイザリ
Optigo Networks 社の ONS NC600 にハードコードされた認証情報の使用に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2025-4041
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-126-01
アドバイザリ
Milesight 社の UG65-868M-EA にブートコードを含む揮発性メモリの不適切なアクセス制御に関する脆弱性
深刻度 基本値 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)(CVSSv3
基本値 6.1(AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:H/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2025-4043
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-126-02
アドバイザリ
BrightSign 社の Brightsign Players に不要な特権による実行に関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2025-3925
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-126-03

2025年5月1日公開

      
アドバイザリ
KUNBUS 社の Revolution Pi に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2025-24522(重要な機能に対する認証の欠如)
CVE-2025-32011(根本の脆弱性による認証回避)
CVE-2025-35996(Webページ内のサーバーサイドインクルード(SSI)の不適切な無効化)
CVE-2025-36558(Webページ内のサーバーサイドインクルード(SSI)の不適切な無効化)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-121-01
メディカルアドバイザリ
MicroDicom 社の DICOM Viewer に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.6(AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-35975(境界外書き込み)
CVE-2025-36521(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-121-01

2025年4月29日公開

アドバイザリ
Rockwell Automation 社の ThinManager に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2025-3618(バッファエラー)
CVE-2025-3617(不適切なデフォルトパーミッション)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-119-01
アドバイザリ
Delta Electronics 社の ISPSoft に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-22882(スタックベースのバッファオーバーフロー)
CVE-2025-22883(境界外書き込み)
CVE-2025-22884(スタックベースのバッファオーバーフロー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-119-02
アドバイザリ【更新】
Lantronix 社の Xport に重要な機能に対する認証の欠如に関する脆弱性
2025年4月15日 CISA 公開分の更新(Update A
[更新内容] 対策:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2025-2567
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-05

2025年4月24日公開

アドバイザリ
Schneider Electric 社の PLC製品 Modicon に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2018-7846(信頼境界線の違反)
CVE-2018-7842(スプーフィングによる認証回避)
CVE-2018-7847(不適切なアクセス制御)
CVE-2018-7850(セキュリティ判断における信頼性のない入力への依存)
CVE-2018-7845(境界外読み取り)
CVE-2018-7848、CVE-2018-7844(情報漏えい)
CVE-2018-7849、CVE-2018-7843、CVE-2018-7852、CVE-2018-7853、
CVE-2018-7854、CVE-2018-7855、CVE-2018-7856、CVE-2018-7857、
CVE-2019-6806、CVE-2019-6807、CVE-2019-6808、CVE-2019-6830、
CVE-2019-6828、CVE-2019-6829、CVE-2019-6809(例外がキャッチされない問題)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-01
アドバイザリ
ALBEDO Telecom 社の Net.Time PTP/NTP clock にセッション期限に関する脆弱性
深刻度 基本値 8.0(AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.5(AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-2185
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-02
アドバイザリ
Vestel 社の AC Charger にセッション期限に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2025-3606
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-03
アドバイザリ
Nice 社の Linear eMerge E3 に OS コマンドインジェクションの脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2024-9441
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-04
アドバイザリ
Johnson Controls 社の  ICU にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2025-26382
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-05
アドバイザリ
Planet Technology 社の PLC製品 Modicon に複数の脆弱性
深刻度 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(パッチ)
脆弱性番号 CVE-2025-46271(OSコマンドインジェクション)
CVE-2025-46272(OSコマンドインジェクション)
CVE-2025-46273(ハードコードされた認証情報の使用)
CVE-2025-46274(ハードコードされた認証情報の使用)
CVE-2025-46275(重要な機能に対する認証の欠如)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-06
アドバイザリ【更新】
富士電機 の Monitouch V-SFT に境界外書き込みに関する脆弱性
2024年12月3日 CISA 公開分の更新(Update A
[更新内容] 影響を受ける製品、対策:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-11787、CVE-2024-11789、CVE-2024-11790、CVE-2024-11791、
CVE-2024-11792、CVE-2024-11793、CVE-2024-11794、CVE-2024-11795、
CVE-2024-11796、CVE-2024-11797
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-05

2025年4月22日公開

アドバイザリ
Siemens 社の TeleControl Server Basic に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-27495(SQLインジェクション)他、計67個
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-01
アドバイザリ
Siemens 社の TeleControl Server Basic に長さのパラメータの不適切な処理に関する脆弱性
深刻度 基本値 3.7(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
基本値 6.3(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-29931
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-02
アドバイザリ
Schneider Electric 社の Wiser Home Controller WHC-5918A に情報漏えいに関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 生産・サポート終了のため無し。新製品へのアップグレード推奨。
脆弱性番号 CVE-2024-6407
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-03
アドバイザリ
ABB 社の 高圧ACドライブ ACS5000/ACS6080/ACS6000 に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2022-4046(バッファエラー)
CVE-2023-37550(不適切な入力確認)
CVE-2023-37549(不適切な入力確認)
CVE-2023-37548(不適切な入力確認)
CVE-2023-37547(不適切な入力確認)
CVE-2023-37546(不適切な入力確認)
CVE-2023-37545(不適切な入力確認)
CVE-2023-37556(不適切な入力確認)
CVE-2023-37555(不適切な入力確認)
CVE-2023-37554(不適切な入力確認)
CVE-2023-37553(不適切な入力確認)
CVE-2023-37552(不適切な入力確認)
CVE-2023-37557(境界外書き込み)
CVE-2023-37559(不適切な入力確認)
CVE-2023-37558(不適切な入力確認)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-04
アドバイザリ【更新】
Schneider Electric 社の Modicon M580 PLCs、BMENOR2200H、および EVLink Pro AC にバッファサイズの計算の誤りに関する脆弱性
2025年2月4日 CISA 公開分の更新(Update A
[更新内容] 影響を受ける製品、対策:情報更新
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2024-11425
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-04

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
 (検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
 (検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
 (検索例:過去のICS Alert

■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。