製品・ソフトウェアに関する情報

JVN脆弱性詳細

三菱電機製 FA 製品の Ethernet 機能におけるサービス運用妨害（DoS）の脆弱性

タイトル	三菱電機製 FA 製品の Ethernet 機能におけるサービス運用妨害（DoS）の脆弱性
概要	三菱電機株式会社が提供する複数の FA 製品の Ethernet 機能には、入力で指定された数量の不適切な検証に起因するサービス運用妨害（DoS）の脆弱性（CWE-1284、CVE-2025-3511）が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
想定される影響	攻撃者によって細工された不正なUDPパケットを受信することで、次のような影響を受ける可能性があります。 <ul> <li>当該製品がサービス運用妨害（DoS）状態となる</li> <li>CC-Link IEF Basicの通信においてタイムアウトエラーが発生する</li> <li>シンプルCPU通信において通信遅延が発生する</li> </ul> 詳しくは、開発者が提供する情報を確認してください。
対策	[アップデートする] 対策バージョンが提供されている製品については、開発者が提供する情報をもとに、ファームウェアまたはCP620用サンプルコードを対策済バージョンにアップデートしてください。対策済バージョンやアップデート手順等の詳細については、開発者が提供する情報を参照してください。 [ワークアラウンドを実施する] 対策バージョンが提供されていない製品については、対策バージョンが提供されるまでの間、開発者は次の回避策・軽減策の適用を推奨しています。 <ul> <li>該当製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク（VPN）等で不正アクセスを防止する</li> <li>該当製品をLAN内で使用し、信頼できないネットワークやホスト、ユーザからのアクセスをブロックする</li> <li>該当製品および当該製品に接続可能なPCへの物理的なアクセスを制限する</li> </ul> 詳しくは、開発者が提供する情報を確認してください。
公表日	2025年5月14日0:00
登録日	2025年5月16日11:49
最終更新日	2026年2月4日11:55

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

三菱電機

CC-Link IE TSN FPGAユニット

CC-Link IE TSN マスタ局・ローカル局用通信LSI CP610

CC-Link IE TSN リモート局用GbE-PHY内蔵通信LSI CP620

CC-Link IE TSNアナログ−デジタル変換ユニット

CC-Link IE TSNデジタル−アナログ変換ユニット

CC-Link IE TSNリモートI/Oユニット

MELSEC iQ-Fシリーズ CC-Link IE TSN マスタ・ローカルユニット

MELSEC iQ-Fシリーズ Ethernetユニット

MELSEC iQ-Fシリーズ FX5-ENET/IP形Ethernetユニット

MELSEC iQ-Rシリーズ CC-Link IE TSN マスタ・ローカルユニット

MELSEC iQ-RシリーズEthernet インタフェースユニット

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-3511	https://www.cve.org/CVERecord?id=CVE-2025-3511

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-1284	https://cwe.mitre.org/data/definitions/1284.html

ベンダー情報

No	名前	URL
三菱電機株式会社
1	複数のFA製品のEthernet機能におけるサービス拒否（DoS）の脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2025-001.pdf

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-25-128-03	https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-03
JVN
2	JVNVU#96620683	https://jvn.jp/vu/JVNVU96620683/index.html

変更履歴

No	変更内容	変更日
1	[2025年05月16日] 掲載	2025年5月16日11:49
2	[2025年10月10日] 概要：内容を更新影響を受けるシステム：内容を更新想定される影響：内容を更新対策：内容を更新	2025年10月10日11:43
3	[2026年02月04日] 影響を受けるシステム：内容を更新想定される影響：内容を更新対策：内容を更新	2026年2月4日11:38

NVD脆弱性情報

CVE-2025-3511

概要	Improper Validation of Specified Quantity in Input vulnerability in Mitsubishi Electric Corporation CC-Link IE TSN Remote I/O module, CC-Link IE TSN Analog-Digital Converter module, CC-Link IE TSN Digital-Analog Converter module, CC-Link IE TSN FPGA module and CC-Link IE TSN Remote Station Communication LSI CP620 with GbE-PHY allows a remote unauthenticated attacker to cause a Denial of Service condition in the products by sending specially crafted UDP packets.
公表日	2025年4月25日15:15
登録日	2025年4月26日4:00
最終更新日	2025年4月25日15:15