Múltiples vulnerabilidades en productos de la serie MELSEC iQ-F de Mitsubishi Electric
Están afectados múltiples módulos y versiones de CPU de la serie iQ-F de MELSEC. Para más información, consultar los avisos tanto de CISA como de Mitsubishi Electric en las referencias.
Thai Do, Minh Pham, Quan Le y Loc Nguyen de Unit 515, OPSWAT, han reportado 2 vulnerabilidades: una de severidad alta y una de severidad media.
La explotación de estas vulnerabilidades podría permitir a un atacante obtener información de credenciales, leer o escribir los valores del dispositivo, o detener el funcionamiento de los programas
Mitsubishi Electric Corporation informa que no hay planes para lanzar una versión correctora para las vulnerabilidades reportadas. Mitsubishi Electric recomienda a los usuarios que tomen las medidas de mitigación, que se pueden consultar en los avisos de las referencias, para minimizar el riesgo de explotación.
Existe una vulnerabilidad de divulgación de información en el módulo CPU de la serie MELSEC iQ-F debido a la transmisión en texto claro de información confidencial. Un atacante podría obtener información de credenciales interceptando mensajes de comunicación SLMP y utilizando las credenciales obtenidas para leer o escribir los valores del dispositivo. Además, el atacante podría detener el funcionamiento de los programas. Se ha asignado el identificador CVE-2025-7731 para la vulnerabilidad reportada.
Para la vulnerabilidad de severidad media, se ha asignado el identificador CVE-2025-7405.
