🔥 この記事の詳細
2026-07-09 更新
B
今週中

OpenPLC v3のレガシーWeb UIプログラムアップロード機能に、認証済み攻撃者が任意のファイルを書き込める脆弱性(CVE-2026-14480)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-14480
📅 2026-07-09📰 cisa
📌 一言でいうと
OpenPLC v3のレガシーWeb UIプログラムアップロード機能に、認証済み攻撃者が任意のファイルを書き込める脆弱性(CVE-2026-14480)が発見されました。この脆弱性を悪用されると、攻撃者はファイルシステムに任意のファイルを保存し、OpenPLCのコンパイルプロセスを通じてネイティブコードを実行させることが可能です。CVSSスコアは9.9と非常に高く、ランタイムユーザー権限でのコード実行に至るリスクがあります。
🔍該当判定
  • 工場や設備制御で「OpenPLC v3」というソフトウェアを利用している
  • PLC(プログラマブルロジックコントローラ)の制御にOpenPLC v3を導入している
  • OpenPLC v3の管理画面(Web UI)からプログラムのアップロード機能を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
最新バージョンのOpenPLC v3へのアップデートを検討し、レガシーWeb UIの利用を制限または無効化することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenPLC v3 CVE-2026-14480 対応について

お疲れさまです。OpenPLC v3に関する脆弱性情報共有です。

■ 概要
OpenPLC v3のレガシーWeb UIにおいて、認証済みユーザーが任意のファイルを書き込める脆弱性が発見されました(CVE-2026-14480)。CVSS 9.9と極めて深刻度が高く、任意のネイティブコード実行に至る可能性があります。

■ 影響範囲
- 対象製品: OpenPLC v3

■ 対応手順
1. 影響を受けるバージョンの利用状況を確認してください。
2. ベンダーから提供される最新のパッチまたはアップデートを適用してください。
3. 不要な場合はレガシーWeb UI機能を無効化してください。

■ 参考情報
- CISA ICS Advisory ICSA-26-190-01

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] OpenPLC v3 CVE-2026-14480 Mitigation

Dear team,

We are sharing critical vulnerability information regarding OpenPLC v3.

■ Overview
An authenticated arbitrary file write vulnerability (CVE-2026-14480) has been discovered in the legacy web UI program-upload workflow of OpenPLC v3. With a CVSS score of 9.9, this flaw could allow an attacker to execute arbitrary native code as the OpenPLC runtime user.

■ Scope
- Affected Product: OpenPLC v3

■ Mitigation Steps
1. Identify all instances of OpenPLC v3 within the environment.
2. Apply the latest security updates provided by the vendor.
3. Disable the legacy web UI functionality if it is not required for operations.

■ Reference
- CISA ICS Advisory ICSA-26-190-01

Priority: High
Deadline: Immediate