JVNDB-2021-001899
|
三菱電機製空調管理システムにおける XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性
|
|
三菱電機製空調管理システムには、XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性 (CWE-611, CVE-2021-20595) が存在します。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.3 (緊急) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): 高
|
|
|
三菱電機
- AE-200J Ver.7.93 およびそれ以前
- AE-50J Ver.7.93 およびそれ以前
- EW-50J Ver.7.93 およびそれ以前
- G-150AD Ver.3.20 およびそれ以前
- G-50 Ver.3.35 およびそれ以前
- G-50-W Ver.3.35 およびそれ以前
- GB-50 Ver.3.35 およびそれ以前
- GB-50AD Ver.3.20 およびそれ以前
- PAC-YG50EC Ver.2.20 およびそれ以前
- PAC-YW01BAC Ver.5.13 およびそれ以前
- PAC-YW51BAC Ver.8.11 およびそれ以前
|
バージョンの確認方法等の詳細については、開発者が提供する情報をご確認ください。
|
|
遠隔の第三者によって細工された不正なパケットを当該製品が受信すると、当該機器内部の一部の情報が漏えいしたり、当該機器がサービス運用妨害 (DoS) 状態になったりする可能性があります。
|
|
[アップデートする]
各製品および型番に対応したアップデートを適用してください。
* 空調管理システム/集中コントローラ―
* G-50 Ver.3.37 およびそれ以降
* G-50-W Ver.3.37 およびそれ以降
* GB-50 Ver.3.37 およびそれ以降
* G-150AD Ver.3.21 およびそれ以降
* GB-50AD Ver.3.21 およびそれ以降
* AE-200J Ver.7.95 およびそれ以降
* AE-50J Ver.7.95 およびそれ以降
* EW-50J Ver.7.95 およびそれ以降
* 空調管理システム/拡張コントローラー
* PAC-YG50EC Ver.2.21 およびそれ以降
* 空調管理システム/BMアダプター
* PAC-YW01BAC Ver.5.14 およびそれ以降
* PAC-YW51BAC Ver.8.12 およびそれ以降
[ワークアラウンドを実施する]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* インターネット等の外部ネットワークへ接続する場合は、VPN ルーター等を使用する
* 該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する
* 該当製品へのアクセスを、信頼できるネットワークやホストからのアクセスのみに制限する
詳しくは開発者が提供する情報をご確認ください。
|
|
三菱電機
|
|
- XML 外部エンティティ参照の不適切な制限(CWE-611) [IPA評価]
|
|
- CVE-2021-20595
|
|
- JVN : JVNVU#93086468
- ICS-CERT ADVISORY : ICSA-21-182-05
|
|
|
