JVNDB-2025-020665
|
三菱電機製 GX Works 2 におけるプロジェクトファイル保護のための認証情報が平文で保存される脆弱性
|
|
三菱電機株式会社が提供する GX Works2 では、ユーザ認証によってプロジェクトファイルを保護する機能が提供されていますが、ユーザ認証に使われる認証情報は当該プロジェクトファイル内に平文で保存されています (CWE-312、CVE-2025-3784) 。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
|
|
|
三菱電機
|
|
|
ユーザ認証を設定して保護されているプロジェクトファイル内の情報を閲覧されたり編集されたりする可能性があります。
|
|
[ワークアラウンドを実施する]
開発者によると、本脆弱性に対策したバージョンを現在開発中とのことです。
対策バージョンのリリースまでの間、次に示す回避策・軽減策を適用することが推奨されています。- 該当製品がインストールされた PC を LAN 内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
- 該当製品がインストールされた PC をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
- 該当製品がインストールされた PC ならびに同 PC と通信可能な PC およびネットワーク機器への物理的なアクセスを制限する
- プロジェクトファイルをインターネット経由で送受信する場合は、プロジェクトファイルを暗号化する
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 重要な情報の平文保存(CWE-312) [その他]
|
|
- CVE-2025-3784
|
|
- JVN : JVNVU#95288056
|
|
|
