Múltiples vulnerabilidades en productos Mitsubishi Electric
Fecha de publicación 20/01/2022
Importancia
5 - Crítica
Recursos Afectados
- MC Works64, versión 4.04E y anteriores;
- GENESIS64, versión 10.97.
Descripción
Mitsubishi Electric ha notificado 4 vulnerabilidades: 1 de severidad crítica, 1 alta y 2 medias, de tipo divulgación de información, omisión de autenticación y denegación de servicio (DoS).
Solución
Actualizar los productos afectados conforme a los pasos descritos en la sección Countermeasures en cada uno de los avisos del fabricante.
Detalle
- Existe una vulnerabilidad de omisión de autenticación debido a una lista incompleta de entradas no permitidas. Un atacante podría saltarse la autenticación enviando paquetes WebSocket, especialmente diseñados, al servidor FrameWorX, una de las funciones de los productos afectados, y obtener acceso no autorizado a los mismos. Se ha asignado el identificador CVE-2022-23128 para esta vulnerabilidad crítica.
- Existe una vulnerabilidad de divulgación de información debido al almacenamiento en texto plano de una contraseña. Cuando la información de configuración de GridWorX, una función de vinculación de bases de datos de los productos afectados, se exporta a un archivo CSV, la información de autenticación se guarda en texto plano en el archivo, y un atacante local, que haya obtenido el archivo CSV, podría acceder ilegalmente a la base de datos. Se ha asignado el identificador CVE-2022-23129 para esta vulnerabilidad alta.
Para el resto de vulnerabilidades medias se han asignado los identificadores CVE-2022-23127 y CVE-2022-23130.
Listado de referencias
Etiquetas