JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は7月1日、「JVNVU#93086468: 三菱電機製空調管理システムにおける XML 外部実体参照 (XXE) の不適切な制限に関する脆弱性」において、三菱電機製空調管理システムに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって情報漏洩やサービス妨害攻撃(DoS: Denial of Service attack)状態を引き起こされるおそれがある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- G-50 Ver.3.35 およびそれより前のバージョン
- G-50-W Ver.3.35 およびそれより前のバージョン
- GB-50 Ver.3.35 およびそれより前のバージョン
- G-150AD Ver.3.20 およびそれより前のバージョン
- GB-50AD Ver.3.20 およびそれより前のバージョン
- AE-200J Ver.7.93 およびそれより前のバージョン
- AE-50J Ver.7.93 およびそれより前のバージョン
- EW-50J Ver.7.93 およびそれより前のバージョン
- PAC-YG50EC Ver.2.20 およびそれより前のバージョン
- PAC-YW01BAC Ver.5.13 およびそれより前のバージョン
- PAC-YW51BAC Ver.8.11 およびそれより前のバージョン
同日、JPCERT/CCは「JVNVU#96046575: 三菱電機製空調管理システムの WEB 機能における認証アルゴリズムの不適切な実装に関する脆弱性」も発行しており、同じプロダクトに別の脆弱性の存在が指摘されている。
脆弱性のひとつは深刻度が緊急に分類されており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。