概要
Acrel Electrical ECEMS 1.3.0 において、/SubstationWEBV2/main/elecMaxMinAvgValue の fCircuitids パラメータにSQLインジェクションの脆弱性が存在します。
攻撃者はリモートから細工されたリクエストを送信することで、データベースの情報を不正に取得・改ざん・削除できる可能性があります。電力監視システムに対する攻撃となるため、産業制御環境への影響が懸念されます。この脆弱性は公開済みですが、ベンダーからの応答はありません。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.3 |
| 深刻度 | High |
| CWE | CWE-74 / CWE-89 (SQLインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ECEMS | Acrel Electrical | 1.3.0 |
修正バージョンと回避策
- 本稿執筆時点で修正版は未リリースです(ベンダー応答なし)
- fCircuitids パラメータに対する入力値バリデーションを適用する
- WAF(Webアプリケーションファイアウォール)でSQLインジェクションパターンをブロックする
- ECEMSの管理画面を外部ネットワークから遮断する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。