産業大手のSiemens、Schneider Electric、Phoenix Contact、Avevaは、同社のICS/OT製品で見つかった脆弱性について顧客に知らせるため、パッチチューズデーのアドバイザリを計12件公開した。
Siemensは新たに5件のアドバイザリを公開した。そのうち2件は、Industrial Edge Devicesにおける同一の重大な認可バイパスの欠陥について説明しており、未認証のリモート攻撃者がこれを悪用して認証を回避し、ユーザーになりすますことが可能となる。1件はIndustrial Edge Devicesを対象とし、もう1件はIndustrial Edge Device Kitを対象としている。
残りのアドバイザリでは、Ruggedcom、ET 200SP、TeleControl Server Basic製品における高深刻度の脆弱性に対する修正の提供について顧客に通知している。
Schneider Electricは新たに4件のアドバイザリを公開した。そのうち1件は、EcoStruxure Process製品で権限昇格に悪用され得る高深刻度の問題について説明している。
別のアドバイザリでは、EcoStruxure Power Build Rapsodyにおける中深刻度1件および高深刻度1件の欠陥について説明している。これらは、特別に細工されたファイルを用いて任意のコード実行に悪用される可能性がある。
残りのアドバイザリは、Schneider Electric製品で使用されているサードパーティ製コンポーネント、具体的にはZigbeeおよびRedisにおける脆弱性について説明している。
Phoenix Contactは、TC RouterおよびCloud Client産業用ルーターに対して攻撃者が悪用できる高深刻度のコマンドインジェクション問題について顧客に知らせるアドバイザリを公開した。悪用には、攻撃者が標的システム上で昇格した権限を有している必要があるか、または被害者をだまして悪意のあるペイロードをアップロードさせる必要がある。
ドイツのVDE CERTも、Phoenix Contactのアドバイザリのバージョンを公開している。
Avevaは、Process Optimization(旧ROMeo)における7種類の脆弱性を説明するアドバイザリを公開した。高および重大の深刻度と評価されたこれらのセキュリティホールは、リモートコード実行、権限昇格、ならびに機微データの取得に悪用される可能性がある。
Honeywellは、同社のPro-WatchおよびMaxproのビルセキュリティ/ビデオ管理製品向けにセキュリティアドバイザリを公開した。これらのアドバイザリは主に、Microsoftが公開したWindowsパッチに焦点を当てている。
サイバーセキュリティ機関のCISAは、ベンダーが2025年12月に開示したRockwell Automationの脆弱性に関するICSアドバイザリに加え、YoSmart YoLink Smart Hubで見つかった3件の欠陥に関するICSアドバイザリも公開した。
パッチチューズデーの数日前、ABBは、同社のWebPro SNMP Card PowerValue製品において認証バイパスおよびDoSにつながり得る3件の欠陥について顧客に知らせるアドバイザリを公開した。
