JVNVU#96455534
Hitachi ABB Power Grids 製 Ellipse EAM に複数の脆弱性

Hitachi ABB Power Grids 社が提供する Ellipse EAM には、複数の脆弱性が存在します。

• Ellipse EAM バージョン 9.0.25 およびそれ以前

Ellipse EAM は Hitachi ABB Power Grids 社 が提供する企業向け資産管理ソフトウェアです。
Ellipse EAM には次の複数の脆弱性が存在します。

• クロスサイトスクリプティング (CWE-79) - CVE-2021-27416

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

  基本値: 5.5

• ユーザインターフェースにおける重要情報の誤った表示 (CWE-451) - CVE-2021-27414

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

  基本値: 5.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• ユーザに悪意のあるコードを含むリンクをクリックさせ、Web ブラウザ上で実行させることで、結果として、遠隔の第三者によって、秘匿情報を漏えいさせられたり、ユーザセッションを乗っ取られたりする - CVE-2021-27416
• ユーザが当該製品のログインページに模した悪意のある Web サイトにアクセスすることで、ユーザが意図しない動作を引き起こされ、結果として、遠隔の第三者によって、認証情報を窃取される - CVE-2021-27414

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• Ellipse EAM バージョン 9.0.26

• 権限のない人が直接操作できないように、重要なアプリケーションおよびシステムを物理的に保護する
• 重要なシステムをインターネットに直接接続しない
• ファイヤーウォールを利用して開放ポート数を最小限に制限し、重要なシステムを他のネットワークから分離する
• インターネットブラウジング、インスタントメッセージ、電子メールの受信に重要なシステムを使用しない
•  PC とリムーバブルストレージメディアは、制御システムへの接続前にウイルススキャンを行う