JVNDB-2025-022239
|
三菱電機製 GT Designer3 におけるユーザー認証のための認証情報が平文で保存されている脆弱性
|
|
三菱電機株式会社が提供する GT Designer3 では、ユーザーに応じて GOT の表示や操作に制限を加える機能が提供されていますが、ユーザ認証に使われる認証情報は当該プロジェクトファイル内に平文で保存されています (CWE-312、CVE-2025-11009)。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
|
|
|
三菱電機
- GT Designer3 Version1 (GOT2000) 全バージョン
- GT Designer3 Version1 (GOT1000) 全バージョン
|
|
|
認証情報が設定されているプロジェクトファイルから、認証情報を取得される可能性があります。
その結果、取得された認証情報を用いて、GOT2000 シリーズ又は GOT1000 シリーズの製品を不正に操作される可能性があります。
|
|
[ワークアラウンドを実施する]
本脆弱性を修正した対策版のリリース予定はありません。
そのため、開発者は次に示す軽減策・回避策を適用することを推奨しています。- 該当製品がインストールされた PC を LAN 内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
- 該当製品がインストールされた PC をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
- 該当製品がインストールされた PC ならびに同 PC と通信可能な PC およびネットワーク機器への物理的なアクセスを制限する
- 信頼できないファイルを開いたり、信頼できないリンクをクリックしない
詳しくは、開発者が提供する情報を確認してください。
|
|
三菱電機
|
|
- 重要な情報の平文保存(CWE-312) [その他]
|
|
- CVE-2025-11009
|
|
- JVN : JVNVU#99629801
- ICS-CERT ADVISORY : ICSA-25-350-04
|
|
|
