NVD Vulnerability Detail

CVE-2021-27887

Summary	Cross-site Scripting (XSS) vulnerability in the main dashboard of Ellipse APM versions allows an authenticated user or integrated application to inject malicious data into the application that can then be executed in a victim’s browser. This issue affects: Hitachi ABB Power Grids Ellipse APM 5.3 version 5.3.0.1 and prior versions; 5.2 version 5.2.0.3 and prior versions; 5.1 version 5.1.0.6 and prior versions.
Publication Date	June 15, 2021, 7:15 a.m.
Registration Date	June 15, 2021, 10 a.m.
Last Update	Nov. 21, 2024, 2:58 p.m.

CVSS3.1 : MEDIUM
スコア	5.4
Vector	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	要
影響の想定範囲(S)	変更あり
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	なし

CVSS2.0 : LOW
Score	3.5
Vector	AV:N/AC:M/Au:S/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	単一
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:hitachiabb-powergrids:ellipse_asset_performance_management::::::::	5.1.0.0	5.1.0.6
cpe:2.3:a:hitachiabb-powergrids:ellipse_asset_performance_management::::::::	5.2.0.0	5.2.0.3
cpe:2.3:a:hitachiabb-powergrids:ellipse_asset_performance_management::::::::	5.3.0.0	5.3.0.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://search.abb.com/library/Download.aspx?DocumentID=9AKK107991A9700&LanguageCode=en&DocumentPartId=&Action=Launch		Vendor Advisory
2	https://search.abb.com/library/Download.aspx?DocumentID=9AKK107991A9700&LanguageCode=en&DocumentPartId=&Action=Launch		Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性

Title	Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性
Summary	Hitachi ABB Power Grids 社が提供する Ellipse APM は設備パフォーマンス管理用ソフトウェアです。Ellipse APM には、格納型クロスサイトスクリプティング (CWE-79、CVE-2021-27887) の脆弱性が存在します。
Possible impacts	認証済みユーザまたは統合アプリケーションによって、不正なデータを挿入されたアプリケーションをユーザのウェブブラウザ上で実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。開発者は本脆弱性を修正したバージョンをリリースしています。　* Ellipse APM バージョン 5.3.0.2 　* Ellipse APM バージョン 5.2.0.4 　* Ellipse APM バージョン 5.1.0.7 [ワークアラウンドを実施する] 開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。　* 「Administrator」アプリケーションロールの利用を、信頼できるユーザだけに限定する　* すべての「Import」ロール API のクレデンシャルと統合機能を、安全なデータを提供するものだけに制限する　* APM ウェブインターフェイスの前に XSS 攻撃を防ぐ Web Application Firewall を導入する
Publication Date	April 22, 2021, midnight
Registration Date	April 23, 2021, 4:06 p.m.
Last Update	April 23, 2021, 4:06 p.m.

Affected System

日立ABBパワーグリッド社

Ellipse APM バージョン 5.1.0.6 およびそれ以前

Ellipse APM バージョン 5.2.0.3 およびそれ以前

Ellipse APM バージョン 5.3.0.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-27887	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27887

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Hitachi ABB Power Grids
1	Stored XSS vulnerability in Ellipse APM	https://search.abb.com/library/Download.aspx?DocumentID=9AKK107991A9700&LanguageCode=en&DocumentPartId=&Action=Launch

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-21-110-01	https://us-cert.cisa.gov/ics/advisories/icsa-21-110-01
JVN
2	JVNVU#97456009	http://jvn.jp/cert/JVNVU97456009

Change Log

No	Changed Details	Date of change
1	[2021年04月23日] 掲載	April 23, 2021, 4:06 p.m.