Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Mitsubishi Electric ME-RTU (CVE-2019-14927)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306 Ausencia de autenticación para una función crítica
Fecha de publicación:
28/10/2019
Última modificación:
10/09/2024

Descripción

Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la versión 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Una vulnerabilidad de descarga de configuración remota no autenticada permite a un atacante descargar el archivo de configuración de smartRTU (que contiene datos como nombres de usuario, contraseñas y otros datos confidenciales de RTU).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:mitsubishielectric:smartrtu_firmware:*:*:*:*:*:*:*:* 2.02 (incluyendo)
cpe:2.3:h:mitsubishielectric:smartrtu:-:*:*:*:*:*:*:*
cpe:2.3:o:inea:me-rtu_firmware:*:*:*:*:*:*:*:* 3.0 (incluyendo)
cpe:2.3:h:inea:me-rtu:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información