Vulnerabilidad en los PLC de IDEC módulo de CPU MICROSmart All-in-One de la serie FC6A, módulo de CPU MICROSmart Plus de la serie FC6A, WindLDR, WindEDIT Lite y Data File Manager (CVE-2021-20827)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
24/12/2021
Última modificación:
11/01/2022
Descripción
Una vulnerabilidad de almacenamiento de texto plano de una contraseña en los PLC de IDEC (módulo de CPU MICROSmart All-in-One de la serie FC6A versiones v2.32 y anteriores, módulo de CPU MICROSmart Plus de la serie FC6A versiones v1.91 y anteriores, WindLDR versiones v8.19.1 y anteriores, WindEDIT Lite versiones v1.3.1 y anteriores, y Data File Manager versiones v2.12.1 y anteriores) permite a un atacante obtener las credenciales de usuario del servidor web del PLC desde servidores de archivos, repositorios de copias de seguridad o archivos ZLD guardados en tarjetas SD. Como resultado, el atacante puede acceder al servidor web del PLC y secuestrar el PLC, pudiendo manipular la salida del PLC y/o suspenderlo
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:idec:microsmart_fc6a_firmware:*:*:*:*:*:*:*:* | 2.32 (incluyendo) | |
| cpe:2.3:h:idec:microsmart_fc6a:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idec:microsmart_plus_fc6a_firmware:*:*:*:*:*:*:*:* | 1.91 (incluyendo) | |
| cpe:2.3:h:idec:microsmart_plus_fc6a:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:idec:data_file_manager:*:*:*:*:*:*:*:* | 2.12.1 (incluyendo) | |
| cpe:2.3:a:idec:windedit:*:*:*:*:*:*:*:* | 1.3.1 (incluyendo) | |
| cpe:2.3:a:idec:windldr:*:*:*:*:*:*:*:* | 8.19.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página