Múltiples vulnerabilidades en productos Mitsubishi Electric
Los siguientes productos y versiones están afectados por las vulnerabilidades reportadas:
- EZSocket, versiones 3.0 y posteriores.
- FR Configurator2, todas las versiones.
- GT Designer3 Version1(GOT1000), todas las versiones.
- GT Designer3 Version1(GOT2000), todas las versiones.
- GX Works2, versiones 1.11M y posteriores.
- GX Works3, todas las versiones.
- MELSOFT Navigator, versiones 1.04E y posteriores.
- MT Works2, todas las versiones.
- MX Component 4.00A, versiones y posteriores.
- MX OPC Server DA/UA (software empaquetado con MC Works64), todas las versiones.
Reid Wightman, de Dragos Inc, ha reportado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, cuya explotación podría permitir a un atacante omitir mecanismos de autenticación y ejecutar código malicioso remotamente.
Mitsubishi Electric recomienda que los clientes tomen medidas de mitigación para minimizar el riesgo de explotar estas vulnerabilidades. Puede consultar las mismas en el enlace adjunto en la sección "Referencias".
Vulnerabilidad de ejecución remota de código, por la cual un atacante podría ser capaz de ejecutar código malicioso llamando remotamente a una función con una ruta a una biblioteca maliciosa, mientras está conectado a los productos.
Como resultado, los usuarios no autorizados pueden revelar, manipular, destruir o borrar información de los productos, o provocar una situación de denegación de servicio (DoS) en los productos afectados.
Se ha asignado el identificador CVE-2023-6943 para esta vulnerabilidad de severidad crítica.
La vulnerabilidad alta tiene asignado el identificador CVE-2023-6942.
