2023] Divulgación de información en MELSEC iQ-F Series de Mitsubishi Electric

Fecha de publicación 02/03/2023

Importancia

4 - Alta

Recursos Afectados

Todas las versiones de los siguientes productos de la serie MELSEC iQ-F están afectados por la vulnerabilidad reportada:

FX5U(C) CPU modules, todos los modelos;
FX5UJ CPU modules, todos los modelos;
FX5S CPU modules, todos los modelos;
FX5-ENET;
FX5-ENET/IP.

[Actualización 20/06/2023]

Todas las versiones de los siguientes productos están afectados por la vulnerabilidad reportada:

MELSEC iQ-R Series:

R00/01/02CPU;
R04/08/16/32/120(EN)CPU;
R08/16/32/120SFCPU;
R08/16/32/120PCPU;
R08/16/32/120PSFCPU;
RJ71EN71;
R12CCPU-V.

MELSEC-Q Series:

Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU;
Q03/04/06/13/26UDVCPU;
Q04/06/13/26UDPVCPU;
QJ71E71-100.

MELSEC-L Series:

L02/06/26CPU(-P), L26CPU-(P)BT;
LJ71E71-100.

Descripción

JeongHoon Bae, YiJoon Jung, JinYoung Kim, HyeokJong Yun y HeeA Go, de HelloT, han reportado una vulnerabidad de severidad alta, que podría permitir a un atacante no autenticado obtener credenciales en texto plano.

Solución

Mitsubishi Electric recomienda a los clientes afectados llevar a cabo una serie de medidas de mitigación para minimizar el riesgo de que esta vulnerabilidad sea explotada. Más información aquí.

Detalle

Un atacante no autenticado podría iniciar sesión en el servidor FTP o en el servidor web de los recursos afectados, obteniendo las credenciales en texto plano almacenadas en los archivos de proyecto. Se ha asignado el identificador CVE-2023-0457 para esta vulnerabilidad.

Listado de referencias

Information Disclosure Vulnerability in MELSEC Series

ICSA-23-061-01- Mitsubishi Electric MELSEC iQ-F Series

Etiquetas

Vulnerabilidad