Hitachi ABB Power Grids Ellipse APMに脆弱性、アップデートを

JPCERTコーディネーションセンター（Japan Computer Emergency Response Team Coordination Center：JPCERT/CC）は4月22日、「JVNVU#97456009: Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性」において、Hitachi ABB Power Gridsが提供する設備パフォーマンス管理用ソフトウェア「Ellipse APM」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、認証済みユーザーまたは統合アプリケーションによって、不正なデータを仕込まれたアプリケーションをユーザーのWebブラウザにおいて実行される危険性がある。

トレンドマイクロの複数の製品に脆弱性、アップデートを

脆弱性に関する情報は次のページにまとまっている。

Stored XSS vulnerability in Ellipse APM - CVE-2021-27887 - Hitach ABB Power Grids
Hitachi ABB Power Grids Ellipse APM | CISA

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Ellipse APM version 5.3.0.1およびこれよりも前のバージョン
Ellipse APM version 5.2.0.3およびこれよりも前のバージョン
Ellipse APM version 5.1.0.6およびこれよりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Ellipse APM version 5.3.0.2
Ellipse APM version 5.2.0.4
Ellipse APM version 5.1.0.7

この脆弱性は遠隔からの操作が可能、かつ、攻撃するための複雑さが低いと評価されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。

2021-04-24 19:23:37