【活用ガイド】

JVNDB-2025-014110

三菱電機製 MELSEC-Q シリーズ CPU ユニットにおけるサービス運用妨害(DoS)の脆弱性

概要

三菱電機株式会社が提供する MELSEC-Q シリーズ CPU ユニットには、ユーザ認証機能が有効になっている場合に、長さパラメーターの不整合の不適切な処理に起因するサービス運用妨害(DoS)の脆弱性(CWE-130、CVE-2025-8531)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

三菱電機 MELSEC-Q シリーズ

三菱電機
  • Q03UDVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q04UDPVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q04UDVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q06UDPVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q06UDVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q13UDPVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q13UDVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q26UDPVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで
  • Q26UDVCPU ファームウェア シリアル No. の上 5 桁 "24082" から "27081" まで

詳しくは、開発者が提供する情報を確認してください。
想定される影響

遠隔の攻撃者により細工された不正なパケットを当該製品が受信すると、整数アンダーフローが発生し、当該製品の Ethernet 通信および制御プログラム実行が停止する可能性があります。なお、復旧には当該製品のリセットが必要です。
対策

[後続機種に移行する]
本脆弱性の影響は受けない後続機種の MELSEC iQ-R シリーズへ移行することを検討してください。

[ワークアラウンドを実施する]
開発者が提供する軽減策および回避策を適用することで、本脆弱性の影響を軽減することが可能です。
軽減策および回避策の詳細は、開発者が提供する情報を確認してください。
ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. レングスパラメーターの不整合による不適切な処理(CWE-130) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-8531
参考情報

  1. JVN : JVNVU#97846038
  2. ICS-CERT ADVISORY : ICSA-25-266-02
更新履歴

  • [2025年09月19日]
      掲載
  • [2025年09月29日]
      参考情報:ICS-CERT ADVISORY (ICSA-25-266-02) を追加

公表日2025/09/18
登録日2025/09/19
最終更新日2025/09/29