NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2020-5527

概要	When MELSOFT transmission port (UDP/IP) of Mitsubishi Electric MELSEC iQ-R series (all versions), MELSEC iQ-F series (all versions), MELSEC Q series (all versions), MELSEC L series (all versions), and MELSEC F series (all versions) receives massive amount of data via unspecified vectors, resource consumption occurs and the port does not process the data properly. As a result, it may fall into a denial-of-service (DoS) condition. The vendor states this vulnerability only affects Ethernet communication functions.
公表日	2020年3月30日17:15
登録日	2021年1月26日11:59
最終更新日	2024年11月21日14:34

CVSS3.1 : HIGH
スコア	7.5
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:cr800-q_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:cr800-q:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx3g_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx3g:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx3gc_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx3gc:-:::::::*

構成4		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx3s_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx3s:-:::::::*

構成5		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx3u_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx3u:-:::::::*

構成6		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx3uc_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx3uc:-:::::::*

構成7		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx5u_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx5u:-:::::::*

構成8		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx5uc_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx5uc:-:::::::*

構成9		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:fx5uj_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:fx5uj:-:::::::*

構成10		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l02cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l02cpu:-:::::::*

構成11		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l02cpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l02cpu-p:-:::::::*

構成12		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l02scpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l02scpu:-:::::::*

構成13		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l02scpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l02scpu-p:-:::::::*

構成14		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l06cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l06cpu:-:::::::*

構成15		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l06cpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l06cpu-p:-:::::::*

構成16		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l26cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l26cpu:-:::::::*

構成17		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l26cpu-bt_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l26cpu-bt:-:::::::*

構成18		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l26cpu-p_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l26cpu-p:-:::::::*

構成19		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:l26cpu-pbt_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:l26cpu-pbt:-:::::::*

構成20		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q02phcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q02phcpu:-:::::::*

構成21		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q06phcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q06phcpu:-:::::::*

構成22		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q12dccpu-v_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q12dccpu-v:-:::::::*

構成23		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q12phcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q12phcpu:-:::::::*

構成24		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q12prhcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q12prhcpu:-:::::::*

構成25		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q172dscpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q172dscpu:-:::::::*

構成26		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q173dscpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q173dscpu:-:::::::*

構成27		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q173nccpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q173nccpu:-:::::::*

構成28		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q24dhccpu-ls_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q24dhccpu-ls:-:::::::*

構成29		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q24dhccpu-v_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q24dhccpu-v:-:::::::*

構成30		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q24dhccpu-vg2_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q24dhccpu-vg2:-:::::::*

構成31		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q25phcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q25phcpu:-:::::::*

構成32		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q25prhcpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q25prhcpu:-:::::::*

構成33		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:q26dhccpu-ls_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:q26dhccpu-ls:-:::::::*

構成34		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r00cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r00cpu:-:::::::*

構成35		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r01cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r01cpu:-:::::::*

構成36		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r02cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r02cpu:-:::::::*

構成37		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r04cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r04cpu:-:::::::*

構成38		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r04encpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r04encpu:-:::::::*

構成39		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r08cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r08cpu:-:::::::*

構成40		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r08encpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r08encpu:-:::::::*

構成41		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r120cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r120cpu:-:::::::*

構成42		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r120encpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r120encpu:-:::::::*

構成43		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r16cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r16cpu:-:::::::*

構成44		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r16encpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r16encpu:-:::::::*

構成45		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r32cpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r32cpu:-:::::::*

構成46		以上	以下	より上	未満
cpe:2.3:o:mitsubishielectric:r32encpu_firmware:-:::::::*
実行環境
1	cpe:2.3:h:mitsubishielectric:r32encpu:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://jvn.jp/en/vu/JVNVU91553662/index.html		Third Party Advisory
2	https://jvn.jp/en/vu/JVNVU91553662/index.html		Third Party Advisory
3	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2019-005_en.pdf		Vendor Advisory
4	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2019-005_en.pdf		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html

JVN脆弱性情報

三菱電機製 MELSEC シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性

タイトル	三菱電機製 MELSEC シリーズの MELSOFT 交信ポートにおけるリソース枯渇の脆弱性
概要	三菱電機株式会社が提供する MELSEC iQ-R，iQ-F，Q，L，F シリーズの MELSOFT 交信ポート (UDP/IP) には、リソース枯渇の脆弱性 (CWE-400) が存在します。MELSOFT 交信ポートに大量のデータを送信すると、リソースが枯渇することにより当該ポートにおいて処理が行われなくなり、サービス運用妨害 (DoS) 状態となる場合があります。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
想定される影響	MELSOFT 交信ポートが処理不能状態に陥った場合、正常なクライアントが MELSOFT 通信ポートに接続できなくなります。また、他の通信ポートで通信している機器が繋がりにくくなります。なお開発者によると、本脆弱性により Ethernet 通信以外の機能が影響を受けることはないとのことです。
対策	[ワークアラウンドを実施する] 開発者によると、本脆弱性はシーケンス制御への影響がなく、サービス運用妨害 (DoS) 状態が終了すれば通信は正常状態となるため、アップデートやパッチの提供は行わないとのことです。ただし、次の回避策のいずれか、または組み合わせを適用することで、本脆弱性の影響を軽減できます。　* ファイアウォールを設置し、ネットワーク経由の外部機器からのアクセスを制限する　* IP フィルタ機能を使用し、接続可能な IP アドレスを制限する詳しくは、開発者が提供する情報をご確認ください。
公表日	2020年3月30日0:00
登録日	2020年3月31日12:14
最終更新日	2020年4月1日14:44

影響を受けるシステム

三菱電機

MELSEC F シリーズ

MELSEC iQ-F シリーズ

MELSEC iQ-R シリーズ

MELSEC L シリーズ

MELSEC Q シリーズ

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5527	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5527

ベンダー情報

No	名前	URL
三菱電機株式会社
1	MELSOFT交信ポート（UDP/IP）におけるリモートアクセスの脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-005.pdf

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-20-091-02	https://www.us-cert.gov/ics/advisories/icsa-20-091-02
JVN
2	JVNVU#91553662	https://jvn.jp/vu/JVNVU91553662/

変更履歴

No	変更内容	変更日
1	[2020年03月31日] 掲載	2020年3月31日12:14
2	[2020年04月01日] 参考情報：ICS-CERT ADVISORY (ICSA-20-091-02) を追加	2020年4月1日14:28