Vulnerabilidad en los PLC de IDEC módulo de CPU MICROSmart All-in-One de la serie FC6A, módulo de CPU MICROSmart Plus de la serie FC6A, WindLDR, WindEDIT Lite y Data File Manager (CVE-2021-20826)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
24/12/2021
Última modificación:
11/01/2022
Descripción
Una vulnerabilidad de transporte de credenciales sin protección en los PLC de IDEC (módulo de CPU MICROSmart All-in-One de la serie FC6A versiones v2.32 y anteriores, módulo de CPU MICROSmart Plus de la serie FC6A versiones v1.91 y anteriores, WindLDR versiones 8.19.1 y anteriores, WindEDIT Lite versiones v1.3.1 y anteriores, y Data File Manager versiones v2.12.1 y anteriores) permite a un atacante obtener las credenciales de usuario del servidor web del PLC a partir de la comunicación entre el PLC y el software. Como resultado, pueden obtenerse los privilegios de acceso completo al servidor web del PLC, y es posible manipular la salida del PLC y/o suspenderlo
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Puntuación base 2.0
3.30
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:idec:microsmart_fc6a_firmware:*:*:*:*:*:*:*:* | 2.32 (incluyendo) | |
| cpe:2.3:h:idec:microsmart_fc6a:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:idec:microsmart_plus_fc6a_firmware:*:*:*:*:*:*:*:* | 1.91 (incluyendo) | |
| cpe:2.3:h:idec:microsmart_plus_fc6a:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:idec:data_file_manager:*:*:*:*:*:*:*:* | 2.12.1 (incluyendo) | |
| cpe:2.3:a:idec:windedit:*:*:*:*:*:*:*:* | 1.3.1 (incluyendo) | |
| cpe:2.3:a:idec:windldr:*:*:*:*:*:*:*:* | 8.19.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página