JVNVU#91222434
三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能における複数の脆弱性

三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能には、複数の脆弱性が存在します。

GOT2000シリーズで「GOT Mobile 機能」を使用している場合：

• GOT2000
  • GT27モデル 01.14.000から01.47.000まで
  • GT25モデル 01.14.000から01.47.000まで

• GT SoftGOT2000
  • 1.265Bから1.285Xまで

• GOT2000 シリーズ本体取扱説明書(ユーティリティ編) (SH-081187)
  • 「6.9 章パッケージ管理」内の「プロパティ操作」
• GT SoftGOT2000 Version1 操作マニュアル (SH-081193)
  • 「2.7 章ヘルプ」内の「GT SoftGOT2000 のバージョン確認手順([バージョン情報]選択時)」

三菱電機株式会社が提供するGOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能には、次の複数の脆弱性が存在します。

• レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限（CWE-1021、CVE-2022-40268）
• スプーフィングによる認証回避（CWE-290、CVE-2022-40269）

• クリックジャッキングによって、ユーザの意図しない操作が実行される - CVE-2022-40268
• 不適切なHTML属性の設定を悪用し、ユーザのウェブブラウザ内の機微な情報が窃取されたり、正規ユーザになりすまされたりする - CVE-2022-40269

アップデートする
開発者が提供する情報をもとにアップデートを実施してください。GOT Mobile機能の対策済みバージョンはGT Designer3 Version1(GOT2000) Ver.1.290C以降に同梱されています。

• GOT2000
  • GT27モデル 01.48.000およびそれ以降
  • GT25モデル 01.48.000およびそれ以降
• GT SoftGOT2000
  •  1.290Cおよびそれ以降

• GOT Mobile 機能を無効にする

• 対象製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク（VPN）等を使用する
• 製品をLAN 内で使用し、信頼できないネットワークやホストからのアクセスを制限する
• 対象製品へアクセス可能なコンピュータにウイルス対策ソフトを導入する
• IP フィルタ機能（*1）を使用し、接続可能なIPアドレスを制限する

•   GT Designer3 (GOT2000)画面設計マニュアル(SH-081219)
  • 「5.4.3 章 IP フィルタを設定する」