Omisión de autenticación en MELSEC WS Series de Mitsubishi Electric
Todas las versiones de MELSEC WS Series WS0-GETH00200.
Mitsubishi Electric ha publicado una vulnerabilidad de severidad alta que podría facilitar a un atacante conectarse a través de Telnet y realizar acciones indebidas, manipular la configuración del módulo, o reescribir la firma.
La compañía recomienda cambiar la contraseña de Telnet por una más robusta y establecer otras medidas de mitigación.
Para más información, consultar el aviso original en las referencias.
Los productos afectados por la vulnerabilidad de severidad alta reportada cuentan con la función Telnet oculta, habilitada por defecto. La explotación de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, iniciar sesión en el módulo afectado conectándose a él a través de Telnet.
Como resultado, el atacante puede reiniciar el módulo y, si se cumplen ciertas condiciones, puede revelar o manipular la configuración del módulo, reescribir la firma o el firmware.
Se ha asignado el identificador CVE-2023-1618 para esta vulnerabilidad.