Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación 19/07/2022
Identificador

INCIBE-2022-0838

Importancia
5 - Crítica
Recursos Afectados
  • GENESIS64TM, versiones desde 10.97 hasta 10.97.1;
  • MC Works64, versiones 4.04E y anteriores (excluyendo CVE-2022-29834).
Descripción

Se han identificado 7 vulnerabilidades en varios productos de Mitsubishi Electric, 1 de severidad crítica y 6 altas, cuya explotación por parte de un atacante podría ocasionar fuga de información, condición de denegación de servicio o ejecución remota de código.

Solución

Actualizar el software afectado mediante la aplicación de los parches de seguridad en GENESIS64TM y MC Works64.

Las instrucciones de descarga y actualización, dependiendo de la versión utilizada de cada producto afectado, pueden consultarse en la sección Countermeasures del aviso del fabricante.

Detalle

Existe una vulnerabilidad de ejecución remota de código (RCE), resultante de la deserialización de datos no confiables en la función de comunicación de los productos afectados con un servidor OPC DA externo, debido a una validación de entrada inadecuada para los paquetes. Se ha asignado el identificador CVE-2022-33318 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2022-29834, CVE-2022-33315, CVE-2022-33316, CVE-2022-33317, CVE-2022-33319 y CVE-2022-33320.

Encuesta valoración