【活用ガイド】

JVNDB-2025-006128

三菱電機製 MELSEC iQ-F CPU ユニットにおける入力値の不適切な検証に関する脆弱性

概要

三菱電機株式会社が提供する MELSEC iQ-F CPU ユニットには、入力値のインデックス、位置、またはオフセットの不適切な検証に関する脆弱性 (CWE-1285、CVE-2025-3755) が存在します。


この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CCが 開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.1 (緊急) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
影響を受けるシステム


三菱電機
  • MELSEC iQ-F シリーズ

    • FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS 全バージョン
    • FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS 全バージョン
    • FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS 全バージョン
    • FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,DS,ESS,DSS 全バージョン
    • FX5UJ-xMy/ES-A, x=24,40,60, y=T,R 全バージョン
    • FX5S-xMy/z x=30,40,60,80, y=T,R, z= ES,DS,ESS,DSS 全バージョン

詳しくは、開発者が提供する情報を確認してください。
想定される影響

攻撃者によって細工された不正なパケットを当該製品が受信することで、当該製品の情報が漏えいしたり、MELSOFT 接続または CPU ユニットがサービス運用妨害 (DoS) 状態となる可能性があります。なお、復旧には当該製品のリセットが必要です。
対策

[ワークアラウンドを実施する]
開発者によると、本脆弱性を修正した対策版をリリースする予定はないとのことです。
そのため、次に示す回避策または軽減策を適用することが推奨されています。

 * 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用し、不正アクセスを防止する
 * 当該製品を LAN 内で使用し、信頼できないネットワークやホストからのアクセスをファイアウォールでブロックする
 * IP フィルタ機能 (*1) を使用し、信頼できないホストからのアクセスをブロックする
 * 当該製品および当該製品が接続された LAN への物理的なアクセスを制限する

(*1) IP フィルタ機能については、開発者が提供する次のマニュアルを参照
MELSEC iQ-F FX5 ユーザーズマニュアル (通信編) 「13.1 IP フィルタ機能」

各種製品マニュアルは、下記の Web サイトからダウンロード可能です。
https://www.mitsubishielectric.co.jp/fa/download/index.html


詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 入力で指定されたインデックス、位置、またはオフセットの不適切な検証(CWE-1285) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-3755
参考情報

  1. JVN : JVNVU#94070048
更新履歴

  • [2025年06月03日]
      掲載

公表日2025/06/02
登録日2025/06/03
最終更新日2025/06/03