JVNDB-2026-007972

複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 例外的状況に対する確認が不十分（CWE-754） - CVE-2026-0667
• ハードコードされた認証情報の使用（CWE-798） - CVE-2025-13957

製品候補が複数ありますので、不要な製品は忘れずに削除してください。

Schneider Electric

• EcoStruxure IT Data Center Expert（旧称 StruxureWare Data Center Expert） バージョン v9.0およびそれ以前 (CVE-2025-13957)
• RemoteConnect バージョン R3.4.2より前 (CVE-2026-0667)
• SCADAPack 47x バージョン R3.4.2より前（ファームウェアバージョン 9.12.2より前) (CVE-2026-0667)
• SCADAPack 47xi バージョン R3.4.2より前（ファームウェアバージョン 9.12.2より前) (CVE-2026-0667)
• SCADAPack 57x すべてのバージョン (CVE-2026-0667)

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• Modbus TCPプロトコルを使用した通信の際に、任意のコードを実行されたり、サービス運用妨害（DoS）状態にされたりする（CVE-2026-0667）
• SOCKSプロキシが有効になっている場合、管理者の認証情報を取得した攻撃者によって情報を漏えいされたり、リモートコードを実行されたりする（CVE-2025-13957）

[アップデートする]
開発者は、SCADAPackTM 57x以外の製品のアップデートを提供しています。

[ワークアラウンドを実施する]
開発者は、SCADAPackTM 57xへのワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

Schneider Electric

• Schneider Electric : SEVD-2026-041-01 | Improper Check for Unusual or Exceptional Conditions on Multiple Products（PDF）
• Schneider Electric : SEVD-2026-069-05 | Use of Hard-coded Credentials vulnerability in EcoStruxure IT Data Center Expert（PDF）

1. 例外的な状態における不適切なチェック(CWE-754) [その他]
2. ハードコードされた認証情報の使用(CWE-798) [その他]

1. CVE-2025-13957
2. CVE-2026-0667

1. JVN : JVNVU#99706907
2. ICS-CERT ADVISORY : ICSA-26-076-02
3. ICS-CERT ADVISORY : ICSA-26-076-03

• [2026年03月19日]
    掲載