NVD Vulnerability Detail

CVE-2025-0921

Summary	Execution with Unnecessary Privileges vulnerability in multiple services of Mitsubishi Electric GENESIS64 versions 10.97.3 and prior, Mitsubishi Electric ICONICS Suite versions 10.97.3 and prior, Mitsubishi Electric MobileHMI versions 10.97.3 and prior, Mitsubishi Electric Hyper Historian versions 10.97.3 and prior, Mitsubishi Electric AnalytiX versions 10.97.3 and prior, Mitsubishi Electric IoTWorX version 10.95, Mitsubishi Electric GENESIS32 all versions, Mitsubishi Electric BizViz all versions, Mitsubishi Electric MC Works64 all versions, Mitsubishi Electric GENESIS versions 11.00, Mitsubishi Electric Iconics Digital Solutions GENESIS64 versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions ICONICS Suite versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions MobileHMI versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions Hyper Historian versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions AnalytiX versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions IoTWorX version 10.95, Mitsubishi Electric Iconics Digital Solutions GENESIS32 all versions, Mitsubishi Electric Iconics Digital Solutions BizViz all versions, and Mitsubishi Electric Iconics Digital Solutions GENESIS versions 11.00 allows a local authenticated attacker to make an unauthorized write to arbitrary files, by creating a symbolic link from a file used as a write destination by the services of the affected products to a target file. This could allow the attacker to destroy the file on a PC with the affected products installed, resulting in a denial-of-service (DoS) condition on the PC if the destroyed file is necessary for the operation of the PC.
Summary	La vulnerabilidad de ejecución con privilegios innecesarios en el agente Pager de la función de notificación multiagente de Mitsubishi Electric Iconics Digital Solutions GENESIS64 anterior a la versión 10.97.3, Mitsubishi Electric GENESIS64 en todas sus versiones y Mitsubishi Electric MC Works64 en todas sus versiones permite a un atacante local autenticado realizar escrituras no autorizadas en archivos arbitrarios mediante la creación de un enlace simbólico desde un archivo utilizado como destino de escritura por los servicios de los productos afectados a un archivo de destino. Esto podría permitir al atacante destruir el archivo en un PC con los productos afectados instalados, lo que provocaría una denegación de servicio (DoS) en el PC si el archivo destruido es necesario para su funcionamiento.
Publication Date	May 16, 2025, 8:15 a.m.
Registration Date	May 17, 2025, 4 a.m.
Last Update	April 14, 2026, 8:16 a.m.

CVSS3.1 : MEDIUM
スコア	6.5
Vector	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	不要
影響の想定範囲(S)	変更あり
機密性への影響(C)	なし
完全性への影響(I)	高
可用性への影響(A)	なし

Related information, measures and tools

No	URL	refsource
1	https://jvn.jp/vu/JVNVU93838985	Mitsubishielectric.Psirt@yd.MitsubishiElectric.co.jp
2	https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04	Mitsubishielectric.Psirt@yd.MitsubishiElectric.co.jp
3	https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-002_en.pdf	Mitsubishielectric.Psirt@yd.MitsubishiElectric.co.jp

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-250	不要な特権による実行	https://cwe.mitre.org/data/definitions/250.html

JVN Vulnerability Information

三菱電機製GENESIS64、ICONICS Suite、MC Works64、GENESIS、GENESIS32およびBizVizの複数のサービス実行時に必要以上に高い権限が割り当てられている脆弱性

Title	三菱電機製GENESIS64、ICONICS Suite、MC Works64、GENESIS、GENESIS32およびBizVizの複数のサービス実行時に必要以上に高い権限が割り当てられている脆弱性
Summary	三菱電機製GENESIS64、ICONCIS Suite、MC Works64、GENESIS、GENESIS32およびBizVizの複数のサービスは、必要以上に高い権限で実行されています（CWE-250、CVE-2025-0921）。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	攻撃者は、該当製品のサービスが書き込み先として使用するファイルから攻撃対象のファイルへのシンボリックリンクを作成することで、任意のファイルへの不正な書き込みを可能にします。結果として、攻撃者は、該当製品がインストールされた PC 上のファイルを、破壊できる可能性があります。破壊されたファイルが当該 PC の動作に必要なファイルの場合、当該 PC がサービス運用妨害（DoS）状態となる可能性があります。
Solution	[アップデートする] GENESIS向け対策：開発者が提供する情報をもとに最新版をダウンロードし適用してください。 [ワークアラウンドを実施する] MC Works64、GENESIS32およびBizViz向け対策：対策版のリリース予定はないため、開発者が提供する情報をもとに回避策・軽減策を適用してください。また、本脆弱性の影響を軽減するため、GENESIS64への移行も検討してください。 GENESIS64およびICONICS Suite向け対策：開発者によると、本脆弱性に対する対策を含むバージョンを現在開発中で、準備ができ次第公開予定とのことです。対策版が公開されるまでの間、開発者が提供する情報をもとに回避策・軽減策を適用してください。詳しくは、開発者が提供する情報を確認してください。
Publication Date	May 20, 2025, midnight
Registration Date	May 21, 2025, 11:56 a.m.
Last Update	Jan. 9, 2026, 9:04 a.m.

Affected System

三菱電機

BizViz 全バージョン

GENESIS Version 11.00

GENESIS32 全バージョン

GENESIS64 全バージョン

ICONICS Suite 全バージョン

MC Works64 全バージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-0921	https://www.cve.org/CVERecord?id=CVE-2025-0921

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-250	https://cwe.mitre.org/data/definitions/250.html

ベンダー情報

No	Name	URL
三菱電機株式会社
1	GENESIS64、ICONICS Suite、MC Works64、GENESIS、GENESIS32及びBizVizの複数のサービスにおける情報改ざんの脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2025-002.pdf

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-25-140-04	https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04
JVN
2	JVNVU#93838985	https://jvn.jp/vu/JVNVU93838985/index.html

Change Log

No	Changed Details	Date of change
1	[2025年05月21日] 掲載	May 21, 2025, 11:20 a.m.
2	[2025年05月22日] 参考情報：ICS-CERT ADVISORY (ICSA-25-140-04) を追加	May 22, 2025, 11:30 a.m.
3	[2025年08月06日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：ベンダ情報 (GENESIS64、MC Works64及びGENESISの複数のサービスにおける情報改ざんの脆弱性 ) の追加に伴い内容を更新対策：内容を更新ベンダ情報：三菱電機 (GENESIS64およびMC Works64のマルチエージェント通知機能における情報改ざんの脆弱性) を削除ベンダ情報：三菱電機 (GENESIS64、MC Works64及びGENESISの複数のサービスにおける情報改ざんの脆弱性) を追加	Aug. 6, 2025, 11:40 a.m.
4	[2026年01月09日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：内容を更新対策：内容を更新ベンダ情報：三菱電機 (BizViz、GENESIS64、MC Works64及びGENESISの複数のサービスにおける情報改ざんの脆弱性) を削除ベンダ情報：三菱電機 (GENESIS64、ICONICS Suite、MC Works64、GENESIS、GENESIS32及びBizVizの複数のサービスにおける情報改ざんの脆弱性) を追加	Jan. 9, 2026, 9:02 a.m.