JVNDB-2025-005097
|
三菱電機製 FA 製品の Ethernet 機能におけるサービス運用妨害(DoS)の脆弱性
|
|
三菱電機株式会社が提供する複数の FA 製品の Ethernet 機能には、入力で指定された数量の不適切な検証に起因するサービス運用妨害(DoS)の脆弱性(CWE-1284、CVE-2025-3511)が存在します。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
|
|
|
三菱電機
- CC-Link IE TSN FPGAユニット
- CC-Link IE TSN マスタ局・ローカル局用通信LSI CP610
- CC-Link IE TSN リモート局用GbE-PHY内蔵通信LSI CP620
- CC-Link IE TSNアナログ−デジタル変換ユニット
- CC-Link IE TSNデジタル−アナログ変換ユニット
- CC-Link IE TSNリモートI/Oユニット
- MELSEC iQ-Rシリーズ CC-Link IE TSN マスタ・ローカルユニット
- MELSEC iQ-RシリーズEthernet インタフェースユニット
|
上記影響を受ける「製品名/シリーズ名」の「形名」および「バージョン」、バージョン確認方法の詳細については、開発者が提供する情報を確認してください。
|
|
攻撃者によって細工された不正な UDP パケットを受信することで、当該製品がサービス運用妨害 (DoS) 状態となる可能性があります。
なお復旧には当該製品の再起動が必要です。
詳しくは、開発者が提供する情報を確認してください。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアまたは CP620 用サンプルコードを対策済バージョンにアップデートしてください。
対策済バージョンやアップデート手順等の詳細については、開発者が提供する情報を参照してください。
[ワークアラウンドを実施する]
開発者は次の回避策・軽減策の適用を推奨しています。
- 該当製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止する
- 該当製品を LAN 内で使用し、信頼できないネットワークやホスト、ユーザからのアクセスをブロックする
- 該当製品および当該製品に接続可能な PC への物理的なアクセスを制限する
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 入力で指定された数量の不適切な検証(CWE-1284) [その他]
|
|
- CVE-2025-3511
|
|
- JVN : JVNVU#96620683
- ICS-CERT ADVISORY : ICSA-25-128-03
|
|
- [2025年05月16日]
掲載
- [2025年10月10日]
概要:内容を更新
影響を受けるシステム:内容を更新
想定される影響:内容を更新
対策:内容を更新
|
