JVNDB-2026-001664

複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 情報漏えい（CWE-200） - CVE-2018-12130
• 入力データの整合性検証不備（CWE-1288） - CVE-2022-47378、CVE-2022-47392、CVE-2022-47391
• 境界外書き込み（CWE-787） - CVE-2022-47379、CVE-2023-37557
• スタックベースのバッファオーバーフロー（CWE-121） - CVE-2022-47380、 CVE-2022-47381、 CVE-2022-47382、 CVE-2022-47383、 CVE-2022-47384、 CVE-2022-47386、 CVE-2022-47387、 CVE-2022-47388、 CVE-2022-47389、 CVE-2022-47390、 CVE-2022-47385
• 信頼できないポインタの参照（CWE-822） - CVE-2022-47393
• バッファーエラー（CWE-119） - CVE-2022-4046
• データ完全性の検証不備（CWE-354） - CVE-2023-28355
• 不適切な入力確認（CWE-20） - CVE-2023-37545、 CVE-2023-37546、 CVE-2023-37547、 CVE-2023-37548、 CVE-2023-37549、 CVE-2023-37550、 CVE-2023-37552、 CVE-2023-37553、 CVE-2023-37554、 CVE-2023-37555、 CVE-2023-37556、 CVE-2023-37558、 CVE-2023-37559
• 外部からアクセス可能なファイルまたはディレクトリ（CWE-552） - CVE-2023-37551
• ファイル検索パスの制御不備（CWE-427） - CVE-2023-3662
• 通信チャネルで送受信するメッセージに対する完全性の検証不備（CWE-924） - CVE-2023-3663
• 過度な認証試行の不適切な制限（CWE-307） - CVE-2023-3669
• 誤った領域へのリソースの漏えい（CWE-668） - CVE-2023-3670

Schneider Electric 

• (複数の製品) (CVE-2022-47378等)
• EcoStruxure Foxboro DCS H90 DCS Server すべてのバージョン（Intel Xeon Silver 4110を使用） (CVE-2018-12130)
• EcoStruxure Foxboro DCS H92 DCS Standard Workstation すべてのバージョン（Intel Xeon W-2123およびそれ以前を使用） (CVE-2018-12130)
• EcoStruxure Foxboro DCS V91 DCS Virtualization Server すべてのバージョン（Intel Xeon Silver 4110を使用） (CVE-2018-12130)

影響を受ける製品は広範囲に及びます。
影響を受ける製品、バージョンなどの詳細については、後述の［ベンダ情報］［参考情報］から確認してください。

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 情報が漏えいする（CVE-2018-12130）
• サービス運用妨害（DoS）状態にされる（CVE-2022-47378、CVE-2022-47392、CVE-2022-47393、CVE-2022-47391、CVE-2023-37545、CVE-2023-37546、CVE-2023-37547、CVE-2023-37548、CVE-2023-37549、CVE-2023-37550、CVE-2023-37552、CVE-2023-37553、CVE-2023-37554、CVE-2023-37555、CVE-2023-37556、CVE-2023-37557、CVE-2023-37558、 CVE-2023-37559）
• サービス運用妨害（DoS）状態にされたり、メモリを上書きされたり、リモートコードを実行されたりする（CVE-2022-47379、CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022-47386、CVE-2022-47387、CVE-2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47385）
• PLCアプリケーションコードを実行される（CVE-2022-4046、CVE-2023-28355）
• システムを侵害される（CVE-2023-37551）
• 悪意ある実行ファイルを実行される（CVE-2023-3662）
• 意図しないコードを実行される（CVE-2023-3663）
• 無制限にパスワードを試行される（CVE-2023-3669）
• 悪意あるスクリプトを実行される（CVE-2023-3670）

[アップデートする]
開発者は、アップデートを提供しています。

[別製品へ移行する]
開発者は、サポートを終了した製品については別製品への移行を推奨しています。

[ワークアラウンドを実施する]
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

Schneider Electric

• Schneider Electric : SEVD-2025-343-01 | EcoStruxure Foxboro DCS
• Schneider Electric : SEVD-2023-192-04 | CODESYS Runtime Vulnerabilities

1. バッファエラー(CWE-119) [その他]
2. スタックベースのバッファオーバーフロー(CWE-121) [その他]
3. 入力の一貫性の不適切な検証(CWE-1288) [その他]
4. 不適切な入力確認(CWE-20) [その他]
5. 情報漏えい(CWE-200) [その他]
6. 過度な認証試行の不適切な制限(CWE-307) [その他]
7. データの整合性検証不備(CWE-354) [その他]
8. 制御されていない検索パスの要素(CWE-427) [その他]
9. 外部からアクセス可能なファイルまたはディレクトリ(CWE-552) [その他]
10. 誤った領域へのリソースの漏えい(CWE-668) [その他]
11. 境界外書き込み(CWE-787) [その他]
12. 信頼できないポインタデリファレンス(CWE-822) [その他]
13. 通信チャネルで送信中のメッセージの整合性への不適切な強制(CWE-924) [その他]

1. CVE-2018-12130
2. CVE-2022-4046
3. CVE-2022-47378
4. CVE-2022-47379
5. CVE-2022-47380
6. CVE-2022-47381
7. CVE-2022-47382
8. CVE-2022-47383
9. CVE-2022-47384
10. CVE-2022-47385
11. CVE-2022-47386
12. CVE-2022-47387
13. CVE-2022-47388
14. CVE-2022-47389
15. CVE-2022-47390
16. CVE-2022-47391
17. CVE-2022-47392
18. CVE-2022-47393
19. CVE-2023-28355
20. CVE-2023-3662
21. CVE-2023-3663
22. CVE-2023-3669
23. CVE-2023-3670
24. CVE-2023-37545
25. CVE-2023-37546
26. CVE-2023-37547
27. CVE-2023-37548
28. CVE-2023-37549
29. CVE-2023-37550
30. CVE-2023-37551
31. CVE-2023-37552
32. CVE-2023-37553
33. CVE-2023-37554
34. CVE-2023-37555
35. CVE-2023-37556
36. CVE-2023-37557
37. CVE-2023-37558
38. CVE-2023-37559

1. JVN : JVNVU#98067852
2. ICS-CERT ADVISORY : ICSA-26-020-01
3. ICS-CERT ADVISORY : ICSA-26-020-02

• [2026年01月23日]
    掲載
• [2026年02月26日]
    影響を受けるシステム：内容を更新