CVE-2022-40266: JVNVU#95633416: 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性

公開日：2022/11/24　最終更新日：2022/11/24

---

三菱電機製GOT2000シリーズのFTPサーバー機能には、不適切な入力確認の脆弱性が存在します。

---

• GOT2000シリーズ
  • GT27モデル 01.39.000およびそれ以前
  • GT25モデル 01.39.000およびそれ以前
  • GT23モデル 01.39.000およびそれ以前

バージョンの確認方法については、開発者が提供する次のマニュアルをご確認ください。マニュアルは三菱電機FAサイトのマニュアルダウンロードコーナーから入手できます。

• GOT2000シリーズ本体取扱説明書(ユーティリティ編) (SH-081187) 「6.9章パッケージ管理」内の「プロパティ操作」

---

三菱電機株式会社が提供するGOT2000シリーズのFTPサーバー機能には、不適切な入力確認の脆弱性（CWE-20、CVE-2022-40266）が存在します。

---

FTPクライアントを使用してFTPサーバ（GOT）にアクセス可能な攻撃者が、細工したコマンドを送信することによって、当該製品がサービス運用妨害（DoS）状態になる可能性があります。

---

アップデートする
開発者が提供する情報をもとに、アップデートしてください。
対策済みバージョンは次の通りで、GT Designer3 Version1(GOT2000) Ver.1.285Xおよびそれ以降に同梱されています。

• GOT2000シリーズ
  • GT27モデル 01.47.000およびそれ以降
  • GT25モデル 01.47.000およびそれ以降
  • GT23モデル 01.47.000およびそれ以降

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等を使用する
• LAN内で使用し、信頼できないネットワークやホストからアクセスできないようにする
• 該当製品やシステムへアクセス可能なパソコンにウイルス対策ソフトを搭載する
• 第三者に不正に当該製品にログインされないよう、強固なパスワードを設定する
• 当該製品のIPフィルタ機能（*1）を使用し、接続可能なIPアドレスを適切に制限する

（*1）IPフィルタ機能については、開発者が提供する「GT Designer3 (GOT2000)画面設計マニュアル(SH-081219) 『5.4.3章 IPフィルタを設定する』」に記載されています。

詳しくは開発者が提供する情報をご確認ください。

---

---

---

---

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

攻撃元区分(AV)

物理 §

ローカル (L)

隣接 (A)

ネットワーク (N)

攻撃条件の複雑さ(AC)

高 (H)

低 (L)

必要な特権レベル(PR)

高 (H)

低 (L)

不要 (N)

ユーザ関与レベル(UI)

要 ®

不要 (N)

スコープ(S)

変更なし (U)

変更あり ©

機密性への影響©

なし (N)

低 (L)

高 (H)

完全性への影響(I)

なし (N)

低 (L)

高 (H)

可用性への影響(A)

なし (N)

低 (L)

高 (H)

---

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

---

JPCERT 緊急報告

JPCERT REPORT

CERT Advisory

CPNI Advisory

TRnotes

CVE

JVN iPedia