製品・ソフトウェアに関する情報
Vulnerability Search
三菱電機製 FA 製品の Ethernet 機能におけるサービス運用妨害(DoS)の脆弱性
Title 三菱電機製 FA 製品の Ethernet 機能におけるサービス運用妨害(DoS)の脆弱性
Summary

三菱電機株式会社が提供する複数の FA 製品の Ethernet 機能には、入力で指定された数量の不適切な検証に起因するサービス運用妨害(DoS)の脆弱性(CWE-1284、CVE-2025-3511)が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

Possible impacts 攻撃者によって細工された不正なUDPパケットを受信することで、次のような影響を受ける可能性があります。 <ul> <li>当該製品がサービス運用妨害(DoS)状態となる</li> <li>CC-Link IEF Basicの通信においてタイムアウトエラーが発生する</li> <li>シンプルCPU通信において通信遅延が発生する</li> </ul>  詳しくは、開発者が提供する情報を確認してください。 
Solution

[アップデートする] 対策バージョンが提供されている製品については、開発者が提供する情報をもとに、ファームウェアまたはCP620用サンプルコードを対策済バージョンにアップデートしてください。 対策済バージョンやアップデート手順等の詳細については、開発者が提供する情報を参照してください。 [ワークアラウンドを実施する] 対策バージョンが提供されていない製品については、対策バージョンが提供されるまでの間、開発者は次の回避策・軽減策の適用を推奨しています。 <ul> <li>該当製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止する</li> <li>該当製品をLAN内で使用し、信頼できないネットワークやホスト、ユーザからのアクセスをブロックする</li> <li>該当製品および当該製品に接続可能なPCへの物理的なアクセスを制限する</li> </ul> 詳しくは、開発者が提供する情報を確認してください。

Publication Date May 14, 2025, midnight
Registration Date May 16, 2025, 11:49 a.m.
Last Update Feb. 4, 2026, 11:55 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Affected System
三菱電機
CC-Link IE TSN FPGAユニット 
CC-Link IE TSN マスタ局・ローカル局用通信LSI CP610 
CC-Link IE TSN リモート局用GbE-PHY内蔵通信LSI CP620 
CC-Link IE TSNアナログ−デジタル変換ユニット 
CC-Link IE TSNデジタル−アナログ変換ユニット 
CC-Link IE TSNリモートI/Oユニット 
MELSEC iQ-Fシリーズ CC-Link IE TSN マスタ・ローカルユニット 
MELSEC iQ-Fシリーズ Ethernetユニット 
MELSEC iQ-Fシリーズ FX5-ENET/IP形Ethernetユニット 
MELSEC iQ-Rシリーズ CC-Link IE TSN マスタ・ローカルユニット 
MELSEC iQ-RシリーズEthernet インタフェースユニット 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2025年05月16日]
  掲載		 May 16, 2025, 11:49 a.m.
2 [2025年10月10日]
  概要:内容を更新
  影響を受けるシステム:内容を更新
  想定される影響:内容を更新
  対策:内容を更新		 Oct. 10, 2025, 11:43 a.m.
3 [2026年02月04日]
  影響を受けるシステム:内容を更新
  想定される影響:内容を更新
  対策:内容を更新		 Feb. 4, 2026, 11:38 a.m.
NVD Vulnerability Information
CVE-2025-3511
Summary

Improper Validation of Specified Quantity in Input vulnerability in Mitsubishi Electric Corporation CC-Link IE TSN Remote I/O module, CC-Link IE TSN Analog-Digital Converter module, CC-Link IE TSN Digital-Analog Converter module, CC-Link IE TSN FPGA module and CC-Link IE TSN Remote Station Communication LSI CP620 with GbE-PHY allows a remote unauthenticated attacker to cause a Denial of Service condition in the products by sending specially crafted UDP packets.

Publication Date April 25, 2025, 3:15 p.m.
Registration Date April 26, 2025, 4 a.m.
Last Update April 25, 2025, 3:15 p.m.
Related information, measures and tools
Common Vulnerabilities List