Múltiples vulnerabilidades en productos de Mitsubishi Electric

Fecha de publicación 08/01/2026

Identificador

INCIBE-2026-009

Importancia

5 - Crítica

Recursos Afectados

MC Works64 : versión 4.04E y anteriores;
GENESIS64, ICONICS Suite, GENESIS32, and MC Works64 todas las versiones.
BizViz versiones anteriores a 9.7, incluida.

Descripción

Asher Davila y Malav Vyas han reportado 16 vulnerabilidades: 1 de severidad crítica, 11 altas, 3 medias y 1 baja. En el caso de que algunas de estas vulnerabilidades fuese exitosamente explotada, podría permitir a un atacante acceder, divulgar o manipular información confidencial, crear condiciones de denegación de servicio (DoS), ejecutar código remoto malicioso, así como eludir la autenticación.

Solución

Se recomienda actualizar a la última versión estable de los productos afectados.

Si no se puede actualizar, se recomienda encarecidamente seguir los pasos de mitigación recomendados por el fabricante. Se encontrarán en los enlaces de las referencias.

Detalle

CVE-2022-33318: vulnerabilidad de severidad crítica de ejecución remota de código como resultado de la deserialización de datos no confiables en la función de comunicación GENESIS64, ICONICS Suite, MC Works64 y GENESIS32. Si esta vulnerabilidad es explotada, podría permitir a un atacante ejecutar código malicioso arbitrario con el simple hecho de enviar paquetes especialmente diseñados a los productos afectados.
CVE-2022-29834: la inadecuada validación de entrada de los parámetros URL da lugar a una vulnerabilidad de path traversal. Un atacante podría acceder a archivos arbitrarios en el servidor y divulgar la información almacenada en los archivos mediante la incrustación de un parámetro malicioso en la URL de la pantalla de supervisión y acceder de forma no autorizada.
CVE-2022-33315: deserialización de datos no confiables en la función de supervisión gráfica de los productos afectados causada por la validación incorrecta de la entrada para los archivos de monitoreo en pantalla. Si un atacante persuade a un usuario para que suba un archivo de pantalla de supervisión, podría ejecutar cualquier código malicioso que contenga códigos XAML dañinos.
CVE-2022-33316: ejecución remota de código debido a la deserialización de datos no confiables para los archivos de pantalla de supervisión. Si un atacante engaña a un usuario para que suba un archivo de pantalla de supervisión, podría ejecutar cualquier código malicioso que contenga códigos XAML dañinos.
CVE-2022-33317: ejecución remota de código a través de la inclusión de funcionalidad desde un ámbito de control no confiable en la función de monitoreo gráfico de los productos afectados. Esta vulnerabilidad se debe a una restricción inapropiada de los scripts. Si un atacante logra que un usuario cargue una pantalla de monitoreo, podría ejecutar cualquier código malicioso, que contenga códigos de script maliciosos.
CVE-2022-33319: vulnerabilidad de divulgación de información y denegación de servicio (DoS) debido a un mal tamaño de los datos de entrada para los paquetes. Esta vulnerabilidad ocurre en la función de comunicación con un servidor OPC DA externo. Un atacante podría filtrar datos de la memoria o causar una condición de denegación de servicio (DoS) mandando paquetes específicamente creados al servidor.
CVE-2022-33320: ejecución remota de código derivada de una insuficiente validación de entrada para los archivos de configuración de proyectos, en la función de gestión de proyectos a través de la deserialización de datos no confiables. Un atacante podría ejecutar un código malicioso de manera arbitraria si persuadiera a un usuario para que cargara un archivo de configuración del proyecto con códigos XML dañinos.
CVE-2024-1182: ejecución de código malicioso debido a un elemento de ruta de búsqueda no controlado en la función notificación multiagente cuando se instalan los productos afectados con el agente Pager. Un atacante podría ejecutar código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica.
CVE-2024-7587: un atacante malintencionado autenticado local podría divulgar o manipular información y datos confidenciales almacenados en la carpeta 'C:\ProgramData\ICONICS' o provocar una denegación de servicio (DoS) en los productos, accediendo a la carpeta con permisos incorrectos.
CVE-2024-8299: ejecución de código malicioso debido a un elemento de ruta de búsqueda no controlado en el agente telefónico de la función de notificación multiagente que afecta a todos los clientes que utilicen una tarjeta de telefonía Dialogic sin instalar el controlador o que no sea Dialogic. Un atacante podría ejecutar un código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica, divulgar y manipular la información en los productos afectados o provocar una condición de denegación de servicio (DoS) en los productos.
CVE-2024-8300: ejecución de código malicioso debido a la presencia de código muerto en el controlador de comunicación. Se verán afectados todos los clientes que instalen los productos afectados en una carpeta no protegida distinta de la carpeta de instalación predeterminada. Un atacante podría ejecutar un código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica, divulgar y manipular la información en los productos afectados, o provocar una condición de denegación de servicio (DoS) en los productos.
CVE-2024-9852: ejecución de código malicioso debido a un elemento de ruta de búsqueda no controlado en el agente FAX de la función de notificación multiagente. Un atacante podría ejecutar un código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica, divulgar y manipular la información en los productos afectados, o provocar una condición de denegación de servicio (DoS) en los productos.