製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数のJohnson Controls製品におけるコマンドインジェクションの脆弱性

Title	複数のJohnson Controls製品におけるコマンドインジェクションの脆弱性
Summary	複数のJohnson Controls製品には次の脆弱性が存在します。<ul><li>コマンドインジェクション（CWE-77） - CVE-2025-26385</li></ul>
Possible impacts	脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>特定の状況において、システム上でSQLコマンドが実行される</li></ul>
Solution	[パッチを適用する] 開発者はLicense Portalを通じたパッチの適用を推奨しています。 [ワークアラウンドを実施する] パッチの適用と併せてワークアラウンドの適用も推奨されます。詳細はICS Advisoryを確認してください。
Publication Date	Jan. 29, 2026, midnight
Registration Date	Jan. 30, 2026, 11:16 a.m.
Last Update	Jan. 30, 2026, 11:16 a.m.

Affected System

ジョンソンコントロールズ

Application and Data Server (ADS) Metasys 14.1およびそれ以前

Controller Configuration Tool (CCT) 17.0およびそれ以前

Extended Application and Data Server (ADX) Metasys 14.1

LCS8500 Metasys installation 12.0から14.1まで

NAE8500 Metasys installation 12.0から14.1まで

System Configuration Tool (SCT) 17.1およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-26385	https://www.cve.org/CVERecord?id=CVE-2025-26385

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-77	https://cwe.mitre.org/data/definitions/77.html

ベンダー情報

No	Name	URL
Johnson Controls
1	Security Advisories	https://www.johnsoncontrols.com/trust-center/cybersecurity/security-advisories

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-26-027-04	https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-04
JVN
2	JVNVU#99454170	https://jvn.jp/vu/JVNVU99454170/index.html

Change Log

No	Changed Details	Date of change
1	[2026年01月30日] 掲載	Jan. 30, 2026, 11:16 a.m.