Múltiples vulnerabilidades en productos Mitsubishi Electric
INCIBE-2022-0838
- GENESIS64TM, versiones desde 10.97 hasta 10.97.1;
- MC Works64, versiones 4.04E y anteriores (excluyendo CVE-2022-29834).
Se han identificado 7 vulnerabilidades en varios productos de Mitsubishi Electric, 1 de severidad crítica y 6 altas, cuya explotación por parte de un atacante podría ocasionar fuga de información, condición de denegación de servicio o ejecución remota de código.
Actualizar el software afectado mediante la aplicación de los parches de seguridad en GENESIS64TM y MC Works64.
Las instrucciones de descarga y actualización, dependiendo de la versión utilizada de cada producto afectado, pueden consultarse en la sección Countermeasures del aviso del fabricante.
Existe una vulnerabilidad de ejecución remota de código (RCE), resultante de la deserialización de datos no confiables en la función de comunicación de los productos afectados con un servidor OPC DA externo, debido a una validación de entrada inadecuada para los paquetes. Se ha asignado el identificador CVE-2022-33318 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2022-29834, CVE-2022-33315, CVE-2022-33316, CVE-2022-33317, CVE-2022-33319 y CVE-2022-33320.