JVNDB-2021-001120
|
Hitachi ABB Power Grids 製 Ellipse EAM に複数の脆弱性
|
Hitachi ABB Power Grids 社が提供する Ellipse EAM には、複数の脆弱性が存在します。
Ellipse EAM は Hitachi ABB Power Grids 社 が提供する企業向け資産管理ソフトウェアです。
Ellipse EAM には次の複数の脆弱性が存在します。
* クロスサイトスクリプティング (CWE-79) - CVE-2021-27416
* ユーザインターフェースにおける重要情報の誤った表示 (CWE-451) - CVE-2021-27414
|
CVSS v3 による深刻度 基本値: 5.5 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
※上記は、CVE-2021-27416の評価になります。
|
CVSS v3 による深刻度
基本値:
5.5 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): 低
※上記は、CVE-2021-27414の評価になります。
|
|
日立ABBパワーグリッド社
- Ellipse EAM バージョン 9.0.25 およびそれ以前
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* ユーザに悪意のあるコードを含むリンクをクリックさせ、Web ブラウザ上で実行させることで、結果として、遠隔の第三者によって、秘匿情報を漏えいさせられたり、ユーザセッションを乗っ取られたりする - CVE-2021-27416
* ユーザが当該製品のログインページに模した悪意のある Web サイトにアクセスすることで、ユーザが意図しない動作を引き起こされ、結果として、遠隔の第三者によって、認証情報を窃取される - CVE-2021-27414
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
* Ellipse EAM バージョン 9.0.26
[ワークアラウンドを実施する]
開発者はアップデートに加え、以下の対策の実施を推奨しています。
* 権限のない人が直接操作できないように、重要なアプリケーションおよびシステムを物理的に保護する
* 重要なシステムをインターネットに直接接続しない
* ファイヤーウォールを利用して開放ポート数を最小限に制限し、重要なシステムを他のネットワークから分離する
* インターネットブラウジング、インスタントメッセージ、電子メールの受信に重要なシステムを使用しない
* PC とリムーバブルストレージメディアは、制御システムへの接続前にウイルススキャンを行う
|
日立ABBパワーグリッド社
|
- クロスサイトスクリプティング(CWE-79) [IPA評価]
- ユーザインターフェースにおける重要情報の誤った表示(CWE-451) [IPA評価]
|
- CVE-2021-27414
- CVE-2021-27416
|
- JVN : JVNVU#96455534
- ICS-CERT ADVISORY : ICSA-21-061-01
|
|