6.5より前のバージョンの**ABB B&R Automation Studio**において、古いサードパーティ製**SQLite**コンポーネントに起因する複数の脆弱性が特定されました。テスト中に悪用が確認された例はありませんが、これらの脆弱性は産業制御システムに重大なリスクをもたらします。 ### 対象バージョン 以下のバージョンが影響を受けます。 * B&R Automation Studio <6.5 * B&R Automation Studio 6.5 これらのバージョンは、以下の**CVE**識別子で追跡されているさまざまな問題の影響を受けやすくなっています。 * **CVE-2025-6965** * **CVE-2025-3277** * **CVE-2023-7104** * **CVE-2022-35737** * **CVE-2020-15358** * **CVE-2020-13632** * **CVE-2020-13631** * **CVE-2020-13630** * **CVE-2020-13435** * **CVE-2020-13434** * **CVE-2020-11656** * **CVE-2020-11655** * **CVE-2019-19646** * **CVE-2019-19645** * **CVE-2019-8457** * **CVE-2018-20506** * **CVE-2018-20505** * **CVE-2018-20346** * **CVE-2018-8740** * **CVE-2017-10989** * **CVE-2016-6153** * **CVE-2015-6607** * **CVE-2015-5895** * **CVE-2015-3717** * **CVE-2015-3416** ### 脆弱性の詳細 特定された脆弱性には、以下のようなさまざまな重大な問題が含まれています。 * Numeric Truncation Error * Heap-based Buffer Overflow * Improper Restriction of Operations within Memory Bounds * Out-of-bounds Write * NULL Pointer Dereference * Incorrect User Management * Use After Free * Integer Overflow or Wraparound * Improper Check for Unusual Conditions * Uncontrolled Recursion * Out-of-bounds Read * Improper Input Validation * Exposure of Sensitive Information * Classic Buffer Overflow 具体的な例としては、**SQLite**バージョン3.50.2より前のNumeric Truncation Errorである**CVE-2025-6965**、および**SQLite**の`concat_ws()`関数におけるInteger Overflowが原因でHeap Buffer Overflowにつながる**CVE-2025-3277**が挙げられます。 ### 影響 これらの脆弱性が悪用された場合、攻撃者はシステムへの不正アクセス、機密データの漏洩、または任意のコードのリモート実行が可能になり、重要なインフラストラクチャの運用を妨害する可能性があります。 ### 緩和策 **ABB**は、古いサードパーティコンポーネントを置き換えるアップデートをリリースしました。影響を受けるバージョンを使用しているユーザーは、これらのリスクを軽減するために、最新バージョンの**ABB B&R Automation Studio**にアップグレードすることを強く推奨します。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-141-03.json) ### 背景 * **重要インフラセクター:** エネルギー * **展開されている国/地域:** 世界中 * **企業本社所在地:** スイス