JVNVU#93891820
三菱電機製複数製品における複数の脆弱性

三菱電機製GENESIS64、ICONICS Suite、Hyper Historian、MC Works64およびGENESIS32には、複数の脆弱性が存在します。

CVE-2024-8299

• GENESIS64 Version 10.97.3およびそれ以前のバージョン
• ICONICS Suite Version 10.97.3およびそれ以前のバージョン
• Hyper Historian Version 10.97.3およびそれ以前のバージョン
• GENESIS32 全バージョン
• MC Works64 全バージョン

• GENESIS64 Version 10.97.2、10.97.2 CFR1、10.97.2 CFR2、10.97.3
• ICONICS Suite Version 10.97.2、10.97.2 CFR1、10.97.2 CFR2、10.97.3

• GENESIS64 Version 10.97.3以前のバージョン
• ICONICS Suite Version 10.97.3以前のバージョン
• Hyper Historian Version 10.97.3以前のバージョン
• GENESIS32 すべてのバージョン
• MC Works64 すべてのバージョン

三菱電機製GENESIS64、ICONICS Suite、Hyper Historian、MC Works64およびGENESIS32には、次の複数の脆弱性が存在します。

• ファイル検索パスの制御不備（CWE-427）
  • CVSS:v3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • CVE-2024-8299
• デッドコード（CWE-561）
  • CVSS:v3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.0
  • CVE-2024-8300
• ファイル検索パスの制御不備（CWE-427）
  • CVSS:v3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • CVE-2024-9852

CVE-2024-8299、CVE-2024-9852
細工されたDLLを特定のフォルダに格納された場合、悪意のあるプログラムが実行され、当該製品上の情報の漏えいや改ざん、破壊、削除をされたり、当該製品がサービス運用妨害（DoS）状態にされたりする可能性があります。

CVE-2024-8300
特定のDLLを改ざんされた場合、悪意のあるプログラムが実行され、当該製品上の情報の漏えいや改ざん、破壊、削除をされたり、当該製品がサービス運用妨害（DoS）状態にされたりする可能性があります。

アップデートする
アップデートが提供されている製品に関しては、開発者が提供する情報をもとに最新版にアップデートしてください。

ワークアラウンドを実施する
アップデートが提供されていない製品に関しては、開発者が提供する緩和策および軽減策を適用してください。
各脆弱性向けの具体的な緩和策および軽減策の詳細については、開発者が提供する情報を確認してください。

• 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
• 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク（VPN）等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
• 該当製品がインストールされたPCおよび本PCが接続されているネットワークへの物理的なアクセスを制限する
• 信頼できない送信元からのメール等に記載されたWebリンクをクリックしない、また信頼できないメールに添付されたファイルを開かない