JVNDB-2025-005343
|
三菱電機製 GENESIS64、MC Works64、GENESIS の複数のサービス実行時に必要以上に高い権限が割り当てられている脆弱性
|
|
三菱電機製 GENESIS64、MC Works64、GENESIS の複数のサービスは、必要以上に高い権限で実行されています(CWE-250、CVE-2025-0921)。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 6.5 (警告) [その他]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): なし
|
|
|
三菱電機
- GENESIS Version 11.00
- GENESIS64 全バージョン
- MC Works64 全バージョン
|
|
|
攻撃者は、該当製品のサービスが書き込み先として使用するファイルから攻撃対象のファイルへのシンボリックリンクを作成することで、任意のファイルへの不正な書き込みを可能にします。結果として、攻撃者は、該当製品がインストールされた PC 上のファイルを、破壊できる可能性があります。破壊されたファイルが当該 PC の動作に必要なファイルの場合、当該 PC がサービス運用妨害(DoS)状態となる可能性があります。
|
|
MC Works64 向け対策:
対策版のリリース予定はないため、開発者が提供する情報をもとに回避策・軽減策を適用してください。
GENESIS64 向け対策:
開発者によると、本脆弱性に対する対策を含むバージョンを現在開発中で、準備ができ次第公開予定とのことです。
対策版が公開されるまでの間、開発者が提供する情報をもとに回避策・軽減策を適用してください。
GENESIS 向け対策:
開発者が提供する情報をもとに最新版をダウンロードし適用してください。
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 不要な特権による実行(CWE-250) [その他]
|
|
- CVE-2025-0921
|
|
- JVN : JVNVU#93838985
- ICS-CERT ADVISORY : ICSA-25-140-04
|
|
- [2025年05月21日]
掲載
- [2025年05月22日]
参考情報:ICS-CERT ADVISORY (ICSA-25-140-04) を追加
- [2025年08月06日]
タイトル:内容を更新
概要:内容を更新
影響を受けるシステム:ベンダ情報 (GENESIS64、MC Works64及びGENESISの複数のサービスにおける情報改ざんの脆弱性 ) の追加に伴い内容を更新
対策:内容を更新
ベンダ情報:三菱電機 (GENESIS64およびMC Works64のマルチエージェント通知機能における情報改ざんの脆弱性) を削除
ベンダ情報:三菱電機 (GENESIS64、MC Works64及びGENESISの複数のサービスにおける情報改ざんの脆弱性) を追加
|
