NVD脆弱性詳細

CVE-2021-27887

概要	Cross-site Scripting (XSS) vulnerability in the main dashboard of Ellipse APM versions allows an authenticated user or integrated application to inject malicious data into the application that can then be executed in a victim’s browser. This issue affects: Hitachi ABB Power Grids Ellipse APM 5.3 version 5.3.0.1 and prior versions; 5.2 version 5.2.0.3 and prior versions; 5.1 version 5.1.0.6 and prior versions.
公表日	2021年6月15日7:15
登録日	2021年6月15日10:00
最終更新日	2024年11月21日14:58

CVSS3.1 : MEDIUM
スコア	5.4
ベクター	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	要
影響の想定範囲(S)	変更あり
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	なし

CVSS2.0 : LOW
スコア	3.5
ベクター	AV:N/AC:M/Au:S/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	単一
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:hitachiabb-powergrids:ellipse_asset_performance_management::::::::	5.1.0.0	5.1.0.6
cpe:2.3:a:hitachiabb-powergrids:ellipse_asset_performance_management::::::::	5.2.0.0	5.2.0.3
cpe:2.3:a:hitachiabb-powergrids:ellipse_asset_performance_management::::::::	5.3.0.0	5.3.0.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://search.abb.com/library/Download.aspx?DocumentID=9AKK107991A9700&LanguageCode=en&DocumentPartId=&Action=Launch		Vendor Advisory
2	https://search.abb.com/library/Download.aspx?DocumentID=9AKK107991A9700&LanguageCode=en&DocumentPartId=&Action=Launch		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性

タイトル	Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性
概要	Hitachi ABB Power Grids 社が提供する Ellipse APM は設備パフォーマンス管理用ソフトウェアです。Ellipse APM には、格納型クロスサイトスクリプティング (CWE-79、CVE-2021-27887) の脆弱性が存在します。
想定される影響	認証済みユーザまたは統合アプリケーションによって、不正なデータを挿入されたアプリケーションをユーザのウェブブラウザ上で実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。開発者は本脆弱性を修正したバージョンをリリースしています。　* Ellipse APM バージョン 5.3.0.2 　* Ellipse APM バージョン 5.2.0.4 　* Ellipse APM バージョン 5.1.0.7 [ワークアラウンドを実施する] 開発者によると、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。　* 「Administrator」アプリケーションロールの利用を、信頼できるユーザだけに限定する　* すべての「Import」ロール API のクレデンシャルと統合機能を、安全なデータを提供するものだけに制限する　* APM ウェブインターフェイスの前に XSS 攻撃を防ぐ Web Application Firewall を導入する
公表日	2021年4月22日0:00
登録日	2021年4月23日16:06
最終更新日	2021年4月23日16:06

影響を受けるシステム

日立ABBパワーグリッド社

Ellipse APM バージョン 5.1.0.6 およびそれ以前

Ellipse APM バージョン 5.2.0.3 およびそれ以前

Ellipse APM バージョン 5.3.0.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-27887	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27887

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Hitachi ABB Power Grids
1	Stored XSS vulnerability in Ellipse APM	https://search.abb.com/library/Download.aspx?DocumentID=9AKK107991A9700&LanguageCode=en&DocumentPartId=&Action=Launch

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-21-110-01	https://us-cert.cisa.gov/ics/advisories/icsa-21-110-01
JVN
2	JVNVU#97456009	http://jvn.jp/cert/JVNVU97456009

変更履歴

No	変更内容	変更日
1	[2021年04月23日] 掲載	2021年4月23日16:06