製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数のJohnson Controls製品におけるコマンドインジェクションの脆弱性

タイトル	複数のJohnson Controls製品におけるコマンドインジェクションの脆弱性
概要	複数のJohnson Controls製品には次の脆弱性が存在します。<ul><li>コマンドインジェクション（CWE-77） - CVE-2025-26385</li></ul>
想定される影響	脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>特定の状況において、システム上でSQLコマンドが実行される</li></ul>
対策	[パッチを適用する] 開発者はLicense Portalを通じたパッチの適用を推奨しています。 [ワークアラウンドを実施する] パッチの適用と併せてワークアラウンドの適用も推奨されます。詳細はICS Advisoryを確認してください。
公表日	2026年1月29日0:00
登録日	2026年1月30日11:16
最終更新日	2026年1月30日11:16

影響を受けるシステム

ジョンソンコントロールズ

Application and Data Server (ADS) Metasys 14.1およびそれ以前

Controller Configuration Tool (CCT) 17.0およびそれ以前

Extended Application and Data Server (ADX) Metasys 14.1

LCS8500 Metasys installation 12.0から14.1まで

NAE8500 Metasys installation 12.0から14.1まで

System Configuration Tool (SCT) 17.1およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-26385	https://www.cve.org/CVERecord?id=CVE-2025-26385

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-77	https://cwe.mitre.org/data/definitions/77.html

ベンダー情報

No	名前	URL
Johnson Controls
1	Security Advisories	https://www.johnsoncontrols.com/trust-center/cybersecurity/security-advisories

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-26-027-04	https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-04
JVN
2	JVNVU#99454170	https://jvn.jp/vu/JVNVU99454170/index.html

変更履歴

No	変更内容	変更日
1	[2026年01月30日] 掲載	2026年1月30日11:16