JVNVU#96767562
三菱電機製家電製品における複数の脆弱性

三菱電機株式会社が提供する複数の家電製品には、複数の脆弱性が存在します。

影響を受ける製品およびバージョンは脆弱性により異なり、また広範囲に及びます。
詳しくは、開発者が提供する情報をご確認ください。

CVE-2022-33321

• 太陽光発電システム カラーモニター エコガイド
• HEMS対応アダプター・無線LANアダプター
• ルームエアコン
• IHクッキングヒーター
• 三菱HEMS用エネルギー計測ユニット
• 無線LANアダプター
• ルームエアコン・無線LANアダプター
• 冷蔵庫
• ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
• バス乾燥・暖房・換気システム
• 炊飯器
• 三菱HEMS用 制御アダプター、無線LANアダプター
• ロスナイセントラル換気システム
• 換気扇用・ロスナイ用スマートスイッチ
• ダクト用換気扇
• レンジフードファン
• HEMS対応アダプター、LANアダプター
• エネルギー計測ユニット

• ルームエアコン・無線LANアダプター
• 冷蔵庫
• ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
• バス乾燥・暖房・換気システム
• 炊飯器
• 三菱HEMS用 制御アダプター、無線LANアダプター
• ロスナイセントラル換気システム
• 換気扇用・ロスナイ用スマートスイッチ

三菱電機株式会社が提供する複数の家電製品には、次の複数の脆弱性が存在します。

• 重要な情報の平文送信（CWE-319、CVE-2022-33321）
• クロスサイトスクリプティング（CWE-79、CVE-2022-33322）
• 解放済メモリの使用（CWE-416、CVE-2022-29859）

想定される影響は脆弱性により異なりますが、次のような影響を受ける可能性があります。

CVE-2022-33321

• HTTP接続でBasic認証を使用すると、通信を傍受した第三者によって認証情報が取得され、製品に不正にアクセスされる可能性があります。その結果、製品が保持している情報の漏えいや改ざんが行われたり、当該製品がサービス運用妨害（DoS）攻撃を受けたりする可能性があります。開発者によると、当該製品の通常の使用状態ではHTTP接続でBasic認証を使用しないため、本脆弱性の影響は受けないとのことです。また、当該製品が保持している情報には個人情報等の機微な情報は含まれないとのことです。

• 当該製品のユーザのウェブブラウザ上で任意のスクリプトが実行され、ウェブブラウザ内の情報が漏えいする可能性があります。開発者によると、本脆弱性による当該製品からの機器データの情報漏えいや機器の不正操作への影響はないとのことです。

• Wi-Fiの受信圏内にいる第三者によって細工されたデータを、アクセスポイントモードで動作中の当該製品のWi-Fi通信が受信すると、当該製品が一時的にサービス運用妨害（DoS）状態となり、アクセスポイントモードでの通信ができなくなる可能性があります。結果として、機器登録ができなくなる可能性があります。開発者によると、手動による当該製品の再起動、もしくは10分経過後に自動的に通常モードに切り替わることにより、サービス運用妨害（DoS）状態から復旧し、機器登録を再開できるとのことです。

影響を受ける製品は脆弱性により異なるうえ広範囲に及ぶため、対策方法もそれぞれ異なります。
詳しくは、開発者が提供する情報をご確認ください。