Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Mitsubishi Electric

Fecha de publicación 18/09/2025
Identificador
INCIBE-2025-0502
Importancia
5 - Crítica
Recursos Afectados
  • EZSocket: de la versión 3.0 a la 5.92;
  • GT Designer3 Version1 (GOT1000): 1.325P y anteriores;
  • GT Designer3 Version1 (GOT2000): 1.320J y anteriores;
  • GX Works2: de la versión 1.11M a la 1.626C;
  • GX Works3: 1.106L y anteriores;
  • MELSOFT Navigator: de la versión 1.04E a la 2.102G;
  • MT Works2: 1.190Y y anteriores;
  • MX Component: de la versión 4.00A a la 5.007H;
  • MX OPC Server DA/UA (incluido con MC Works64): todas las versiones;
  • PV-DR004J: todas las versiones;
  • PV-DR004JA: todas las versiones;
Descripción

Mitsubishi Electric ha publicado 5 notas de seguridad con 7 vulnerabilidades: 1 de severidad crítica, 2 altas y 4 medias, que podrían permitir a un atacante omitir la autenticación, ejecutar código malicioso (RCE), divulgar, alterar, destruir o eliminar información de los productos, o provocar una condición de denegación de servicio (DoS).

Solución

Actualizar a las siguientes versiones:

  • EZSocket: versión 5.A o posterior.
  • GT Designer3 Version1 (GOT1000): 1.330U o posterior.
  • GT Designer3 Version1 (GOT2000): 1.325P o posterior.
  • GX Works2: 1.630G o posterior.
  • GX Works3: 1.110Q o posterior.
  • MELSOFT Navigator: 2.106L o posterior.
  • MT Works2: 1.195D o posterior.
  • MX Component: 5.008J o posterior.

Dado que el soporte técnico para los productos PV-DR004J y PV-DR004JA ha finalizado, se recomienda a los clientes seguir las pautas indicadas en el aviso oficial enlazado en las referencias.

Detalle
  • CVE-2023-6943: vulnerabilidad de severidad critica de ejecución remota de código debido al uso de entradas controladas externamente para seleccionar clases o código. Un atacante podría ejecutar código malicioso llamando de forma remota a una función con una ruta a una biblioteca maliciosa mientras está conectado a los productos.
  • CVE-2023-6942: vulnerabilidad de severidad alta de omisión de autenticación debido a la falta de autenticación para funciones críticas. Un atacante remoto no autenticado podría eludir la autenticación enviando paquetes especialmente diseñados y conectarse a los productos de forma ilegal.
  • CVE-2025-5023: vulnerabilidad de severidad alta de divulgación de información, manipulación y vulnerabilidad de denegación de servicio (DoS) debido al uso de credenciales codificadas de forma rígida.

Para las vulnerabilidades de severidad media se han asignado los siguientes identificadores CVE-2025-5022, CVE-2025-0921, CVE-2025-8531 y CVE-2025-7376.

CVE
Explotación
No
Fabricante
mitsubishi_electric
Identificador CVE
CVE-2023-6943
Severidad
Crítica
Explotación
No
Fabricante
mitsubishi_electric
Identificador CVE
CVE-2023-6942
Severidad
Alta
Explotación
No
Fabricante
mitsubishi_electric
Identificador CVE
CVE-2025-5023
Severidad
Alta
Listado de referencias
Authentication Bypass Vulnerability and Remote Code Execution Vulnerability in Multiple FA Engineering Software Products
Information Disclosure Vulnerability, as well as Information Disclosure, Tampering, and Denial-of-Service (DoS) Vulnerability in “EcoGuideTAB”
Information Tampering Vulnerability in Multiple Services of GENESIS64, MC Works64, and GENESIS
Denial-of-Service (DoS) Vulnerability in MELSEC-Q Series CPU module
Information Tampering Vulnerability in Multiple Processes of GENESIS64, MC Works64, and GENESIS
Etiquetas