公開日:2022/03/30 最終更新日:2022/04/01

JVNVU#96731806
Hitachi Energy社製LinkOne WebViewにおける複数の脆弱性

概要

Hitachi Energyが提供するLinkOne WebViewには、複数の脆弱性が存在します。

影響を受けるシステム

  • LinkOne WebView v3.20からv3.26まで

詳細情報

Hitachi Energyが提供するLinkOne WebViewには、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング (CWE-79) - CVE-2021-40337
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値: 4.2
  • 機微な情報を含むエラーメッセージの生成 (CWE-209) - CVE-2021-40338
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7
  • 環境設定の問題 (CWE-16) - CVE-2021-40339
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7
  • 認可なしで機微な情報にアクセス可能 (CWE-200) - CVE-2021-40340
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 任意のスクリプトを実行され、機微な情報を取得される - CVE-2021-40337
  • 特定のエラーが発生時に、LinkOneアプリケーションのデバッグモードが有効になり、ディレクトリのフルパスが表示される - CVE-2021-40338
  • 遠隔の第三者によって、機微な情報を取得される - CVE-2021-40339
  • 遠隔の第三者によって、サーバやAPS.Netの情報を取得される - CVE-2021-40340

対策方法

アップデートまたはパッチを適用する
開発者が提供する情報をもとに、最新版にアップデートまたはパッチを適用してください。
開発者は本脆弱性を修正したLinkOne v3.27をリリースしています。

参考情報

  1. ICS Advisory (ICSA-22-088-03)
    Hitachi Energy LinkOne WebView

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/04/01
[対策方法]の掲載不備を修正しました