JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月22日、「JVNVU#97456009: Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性」において、Hitachi ABB Power Gridsが提供する設備パフォーマンス管理用ソフトウェア「Ellipse APM」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、認証済みユーザーまたは統合アプリケーションによって、不正なデータを仕込まれたアプリケーションをユーザーのWebブラウザにおいて実行される危険性がある。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Ellipse APM version 5.3.0.1およびこれよりも前のバージョン
  • Ellipse APM version 5.2.0.3およびこれよりも前のバージョン
  • Ellipse APM version 5.1.0.6およびこれよりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Ellipse APM version 5.3.0.2
  • Ellipse APM version 5.2.0.4
  • Ellipse APM version 5.1.0.7
  • Stored XSS vulnerability in Ellipse APM - CVE-2021-27887 - Hitach ABB Power Grids

    Stored XSS vulnerability in Ellipse APM - CVE-2021-27887 - Hitach ABB Power Grids

この脆弱性は遠隔からの操作が可能、かつ、攻撃するための複雑さが低いと評価されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。