NVD Vulnerability Detail

CVE-2021-20590

Summary	Improper authentication vulnerability in GOT2000 series GT27 model VNC server versions 01.39.010 and prior, GOT2000 series GT25 model VNC server versions 01.39.010 and prior, GOT2000 series GT21 model GT2107-WTBD VNC server versions 01.40.000 and prior, GOT2000 series GT21 model GT2107-WTSD VNC server versions 01.40.000 and prior, GOT SIMPLE series GS21 model GS2110-WTBD-N VNC server versions 01.40.000 and prior and GOT SIMPLE series GS21 model GS2107-WTBD-N VNC server versions 01.40.000 and prior allows a remote unauthenticated attacker to gain unauthorized access via specially crafted packets when the "VNC server" function is used.
Publication Date	April 23, 2021, 4:15 a.m.
Registration Date	April 23, 2021, 10:02 a.m.
Last Update	Nov. 21, 2024, 2:46 p.m.

CVSS3.1 : HIGH
スコア	7.5
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	高
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:got2000_gt27_firmware::::::::			01.39.010
execution environment
1	cpe:2.3:h:mitsubishielectric:got2000_gt27:-:::::::*

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:got2000_gt25_firmware::::::::			01.39.010
execution environment
1	cpe:2.3:h:mitsubishielectric:got2000_gt25:-:::::::*

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2107-wtbd_firmware::::::::			01.40.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2107-wtbd:-:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2107-wtsd_firmware::::::::			01.40.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2107-wtsd:-:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs2110-wtbd-n_firmware::::::::			01.40.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs2110-wtbd-n:-:::::::*

Configuration6		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs2107-wtbd-n_firmware::::::::			01.40.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs2107-wtbd-n:-:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	https://jvn.jp/vu/JVNVU97615777/index.html
2	https://jvn.jp/vu/JVNVU97615777/index.html
3	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-001_en.pdf
4	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-001_en.pdf

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html

JVN Vulnerability Information

三菱電機製 GOT の VNC サーバ機能におけるパスワード認証回避の脆弱性

Title	三菱電機製 GOT の VNC サーバ機能におけるパスワード認証回避の脆弱性
Summary	三菱電機株式会社が提供する GOT2000 シリーズおよび GOT SIMPLE シリーズの VNC サーバ機能には、不適切な認証（CWE-287）に起因する、VNC サーバへの接続時にパスワード認証が回避される脆弱性（CVE-2021-20590）が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	遠隔の第三者によって送信された不正なパケットを受信した場合に、VNC サーバに不正アクセスされる可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、対策済みのバージョンにアップデートしてください。　　* GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD-N VNC サーババージョン 01.41.000 およびそれ以降　* GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD-N VNC サーババージョン 01.41.000 およびそれ以降　* GOT2000 シリーズ GT21 モデル GT2107-WTBD VNC サーババージョン 01.41.000 およびそれ以降　* GOT2000 シリーズ GT21 モデル GT2107-WTSD VNC サーババージョン 01.41.000 およびそれ以降　* GOT2000 シリーズ GT25 モデル全型名 VNC サーババージョン 01.40.000 およびそれ以降　* GOT2000 シリーズ GT27 モデル全型名 VNC サーババージョン 01.40.000 およびそれ以降 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　* 当該製品への VNC によるアクセスを、信頼できるネットワークやホストからのアクセスのみに制限するアップデート手順等の詳細については、<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-001.pdf" target="blank">開発者が提供する情報</a>を参照してください。
Publication Date	April 22, 2021, midnight
Registration Date	April 23, 2021, 4:12 p.m.
Last Update	July 29, 2021, 9:19 a.m.

Affected System

三菱電機

GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD-N VNC サーババージョン 01.40.000 およびそれ以前

GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD-N VNC サーババージョン 01.40.000 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2107-WTBD VNC サーババージョン 01.40.000 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2107-WTSD VNC サーババージョン 01.40.000 およびそれ以前

GOT2000 シリーズ GT25 モデル全型名 VNC サーババージョン 01.39.010 およびそれ以前

GOT2000 シリーズ GT27 モデル全型名 VNC サーババージョン 01.39.010 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-20590	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20590

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
三菱電機株式会社
1	GOTのVNCサーバ機能におけるパスワード認証回避の脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2021-001.pdf

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-21-112-02	https://us-cert.cisa.gov/ics/advisories/icsa-21-112-02
JVN
2	JVNVU#97615777	http://jvn.jp/cert/JVNVU97615777

Change Log

No	Changed Details	Date of change
1	[2021年04月23日] 掲載	April 23, 2021, 4:12 p.m.
2	[2021年07月29日] 影響を受けるシステム：内容を更新対策：内容を更新	July 29, 2021, 9:19 a.m.