公開日:2022/09/29 最終更新日:2022/09/29

JVNVU#96767562
三菱電機製家電製品における複数の脆弱性

概要

三菱電機株式会社が提供する複数の家電製品には、複数の脆弱性が存在します。

影響を受けるシステム

影響を受ける製品およびバージョンは脆弱性により異なり、また広範囲に及びます。
詳しくは、開発者が提供する情報をご確認ください。

CVE-2022-33321

  • 太陽光発電システム カラーモニター エコガイド
  • HEMS対応アダプター・無線LANアダプター
  • ルームエアコン
  • IHクッキングヒーター
  • 三菱HEMS用エネルギー計測ユニット
  • 無線LANアダプター
  • ルームエアコン・無線LANアダプター
  • 冷蔵庫
  • ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
  • バス乾燥・暖房・換気システム
  • 炊飯器
  • 三菱HEMS用 制御アダプター、無線LANアダプター
  • ロスナイセントラル換気システム
  • スマートスイッチ
  • ダクト用換気扇
  • レンジフードファン
  • HEMS対応アダプター、LANアダプター
  • エネルギー計測ユニット
CVE-2022-29859、CVE-2022-33322
  • ルームエアコン・無線LANアダプター
  • 冷蔵庫
  • ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
  • バス乾燥・暖房・換気システム
  • 炊飯器
  • 三菱HEMS用 制御アダプター、無線LANアダプター
  • ロスナイセントラル換気システム
  • スマートスイッチ

詳細情報

三菱電機株式会社が提供する複数の家電製品には、次の複数の脆弱性が存在します。

想定される影響

想定される影響は脆弱性により異なりますが、次のような影響を受ける可能性があります。

CVE-2022-33321

  • HTTP通信を傍受した第三者によって認証情報が取得され、製品に不正にアクセスされる可能性があります。その結果、情報漏えいや情報改ざんが行われたり、当該製品がサービス運用妨害(DoS)攻撃を受けたりする可能性があります。
CVE-2022-29859
  • 第三者によって細工されたデータを当該製品が受信した際、当該製品がサービス運用妨害(DoS)状態となる可能性があります
CVE-2022-33322
  • 当該製品のユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります

対策方法

影響を受ける製品は脆弱性により異なるうえ広範囲に及ぶため、対策方法もそれぞれ異なります。
詳しくは、開発者が提供する情報をご確認ください。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia