CVE-2022-33322: JVNVU#96767562: 三菱電機製家電製品における複数の脆弱性

公開日：2022/09/29　最終更新日：2022/09/29

---

三菱電機株式会社が提供する複数の家電製品には、複数の脆弱性が存在します。

---

影響を受ける製品およびバージョンは脆弱性により異なり、また広範囲に及びます。
詳しくは、開発者が提供する情報をご確認ください。

CVE-2022-33321

• 太陽光発電システム カラーモニター エコガイド
• HEMS対応アダプター・無線LANアダプター
• ルームエアコン
• IHクッキングヒーター
• 三菱HEMS用エネルギー計測ユニット
• 無線LANアダプター
• ルームエアコン・無線LANアダプター
• 冷蔵庫
• ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
• バス乾燥・暖房・換気システム
• 炊飯器
• 三菱HEMS用 制御アダプター、無線LANアダプター
• ロスナイセントラル換気システム
• スマートスイッチ
• ダクト用換気扇
• レンジフードファン
• HEMS対応アダプター、LANアダプター
• エネルギー計測ユニット

CVE-2022-29859、CVE-2022-33322

• ルームエアコン・無線LANアダプター
• 冷蔵庫
• ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
• バス乾燥・暖房・換気システム
• 炊飯器
• 三菱HEMS用 制御アダプター、無線LANアダプター
• ロスナイセントラル換気システム
• スマートスイッチ

---

三菱電機株式会社が提供する複数の家電製品には、次の複数の脆弱性が存在します。

• 重要な情報の平文送信（CWE-319、CVE-2022-33321）
• 解放済メモリの使用（CWE-416、CVE-2022-29859）
• クロスサイトスクリプティング（CWE-79、CVE-2022-33322）

---

想定される影響は脆弱性により異なりますが、次のような影響を受ける可能性があります。

CVE-2022-33321

• HTTP通信を傍受した第三者によって認証情報が取得され、製品に不正にアクセスされる可能性があります。その結果、情報漏えいや情報改ざんが行われたり、当該製品がサービス運用妨害（DoS）攻撃を受けたりする可能性があります。

CVE-2022-29859

• 第三者によって細工されたデータを当該製品が受信した際、当該製品がサービス運用妨害（DoS）状態となる可能性があります

CVE-2022-33322

• 当該製品のユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります

---

影響を受ける製品は脆弱性により異なるうえ広範囲に及ぶため、対策方法もそれぞれ異なります。
詳しくは、開発者が提供する情報をご確認ください。

---

---

---

---

---

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

---

JPCERT 緊急報告

JPCERT REPORT

CERT Advisory

CPNI Advisory

TRnotes

CVE

JVN iPedia