製品・ソフトウェアに関する情報

JVN脆弱性詳細

Schneider Electric製EcoStruxure Process Expertにおけるインストール時のファイルアクセス権の設定が不適切な脆弱性

Title	Schneider Electric製EcoStruxure Process Expertにおけるインストール時のファイルアクセス権の設定が不適切な脆弱性
Summary	Schneider Electricが提供するEcoStruxure Process Expertには、次の脆弱性が存在します。<ul><li>インストール時のファイルアクセス権の設定が不適切（CWE-276） - CVE-2025-13905</li></ul>
Possible impacts	脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>不適切なデフォルト権限により、通常権限のローカルユーザーがインストールフォルダー内のサービス実行バイナリを改変した場合、サービス再起動時にリバースシェルを介して権限昇格される</li></ul>
Solution	[アップデートする] 開発者は、EcoStruxure Process Expertに対してアップデートを提供しています。 [ワークアラウンドを実施する] 開発者は、EcoStruxure Process Expert for AVEVA System Platformのアップデートは計画中のため、提供されるまでの間は緩和策の適用を推奨しています。詳細は、開発者が提供する情報を確認してください。
Publication Date	Jan. 26, 2026, midnight
Registration Date	Jan. 27, 2026, 12:25 p.m.
Last Update	Jan. 27, 2026, 12:25 p.m.

Affected System

Schneider Electric

EcoStruxure Process Expert 2025より前のバージョン

EcoStruxure Process Expert for AVEVA System Platform すべてのバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-13905	https://www.cve.org/CVERecord?id=CVE-2025-13905

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-276	https://cwe.mitre.org/data/definitions/276.html

ベンダー情報

No	Name	URL
Schneider Electric
1	SEVD-2026-013-02 \| Incorrect Default Permissions Vulnerability on EcoStruxure Process Expert（PDF）	https://download.schneider-electric.com/files?p_File_Name=SEVD-2026-013-02.pdf

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-26-022-01	https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-01
JVN
2	JVNVU#93876539	https://jvn.jp/vu/JVNVU93876539/index.html

Change Log

No	Changed Details	Date of change
1	[2026年01月27日] 掲載	Jan. 27, 2026, 12:25 p.m.