Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Mitsubishi Electric

Fecha de publicación 27/11/2025
Identificador
INCIBE-2025-0669
Importancia
4 - Alta
Recursos Afectados

Todas las versiones de:

  • MILCO.S Setting Application.
  • MILCO.S Setting Application (IR).
  • MILCO.S Easy Setting Application (IR).
  • MILCO.S Easy Switch Application (IR).
  • NC Designer2.
  • NC Designer.
  • NC Configurator2.
  • NC Analyzer2.
  • NC Analyzer.
  • NC Explorer.
  • NC Monitor2.
  • NC Monitor.
  • NC Trainer / NC Trainer plus.
  • NC Visualizer.
  • Remote Monitor Tool.
  • MS Configurator.
  • Mitsubishi Electric CNC communication software runtime library M70LC/M730LC.
  • NC Virtual Simulator.
  • RJ71EIP91.
  • FX5-ENET/IP.

Para los siguientes productos, están afectadas las siguientes versiones:

  • NC Trainer2 / NC Trainer2 plus versión "AB" y anteriores.
  • Mitsubishi Electric Numerical Control Device Communication Software (FCSB1224) versión "A8" y anteriores.
  • SW1DNN-EIPCT-BD, software versión "1.01B" y anteriores.
  • SW1DNN-EIPCTFX5-BD, software versión "1.01B" y anteriores.
Descripción

Kazuma Matsumoto, Sahil Shah y Lie Karada informaron sobre 6 vulnerabilidades; 3 de ellas de severidad alta y 3 de severidad media. La explotación de estas vulnerabilidades permitiría a un atacante ejecutar código malicioso; conectarse al módulo a través de FTP, eludiendo la autenticación; divulgar, manipular, eliminar o destruir información; y lanzar nuevos ataques.

Solución

Para los productos de MILCOS.S descargar e instalar la versión corregida. 

Para los demás productos se recomienda descargar la última versión estable o en su defecto adoptar las medidas de mitigación para cada producto que se encuentran en los enlaces.

Detalle

Vulnerabilidades que permiten ejecutar código malicioso mediante el secuestro de DLLs:

  • CVE-2025-10089: un elemento no controlado en la ruta de búsqueda en la aplicación de configuración, podría permitir a un atacante local ejecutar código malicioso haciendo que el instalador cargue una DLL maliciosa.
  • CVE-2016-2542: un elemento de ruta de búsqueda no es controlado en Flexera InstallShield (herramienta de software y productos industriales relacionados con el IoT para la serie CNC). Esto permitiría a un atacante local ejecutar código malicioso haciendo que 'setup-launcher' cargue una DLL maliciosa.

CVE-2023-2060: vulnerabilidad de omisión de autenticación en la función FTP del módulo EtherNet/IP. Este contiene requisitos de contraseña débiles que podrían permitir a un atacante, no autenticado, acceder al módulo a través de FTP mediante un ataque de diccionario o el rastreo de contraseñas.

CVE
Explotación
No
Fabricante
mitsubishi_electric
Identificador CVE
CVE-2025-10089
Severidad
Alta
Explotación
No
Fabricante
mitsubishi_electric
Identificador CVE
CVE-2016-2542
Severidad
Alta
Explotación
No
Fabricante
mitsubishi_electric
Identificador CVE
CVE-2023-2060
Severidad
Alta
Explotación
No
Explotación
No
Explotación
No
Listado de referencias
Malicious Code Execution Vulnerability in Setting and Operation Application for Lighting Control System MILCO.S
Malicious Code Execution Vulnerability due to Flexera InstallShield Vulnerability in Multiple Software Tools and Industrial IoT-related Products for Mitsubishi Electric CNC Series
Multiple Vulnerabilities in MELSEC iQ-R Series/iQ-F Series EtherNet/IP Modules and EtherNet/IP Configuration tool
Etiquetas