Múltiples vulnerabilidades en productos Mitsubishi Electric
Fecha de publicación:
24/11/2022
Identificador:
INCIBE-2022-1027
Importancia:
5 -
Crítica
Recursos afectados:
- GX Works3, versiones (consultar el listado concreto de vulnerabilidades que afecta a cada versión en el aviso del fabricante):
- 1.000A o posteriores y 1.011M y anteriores;
- 1.015R o posteriores y 1.086Q y anteriores;
- 1.087R o posteriores.
- MX OPC UA Module Configurator-R, todas las versiones.
- GOT2000 Series, versiones 01.39.000 y anteriores de los modelos:
- GT27,
- GT25,
- GT23.
Descripción:
Varios investigadores han identificado 11 vulnerabilidades en productos de Mitsubishi Electric, siendo 1 de severidad crítica, 2 altas, 7 medias y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a módulos, ejecutar programas ilegales y causar una condición de denegación de servicio (DoS).
Solución:
- GX Works3: descargar la versión 1.090U o posteriores y actualizar el software para corregir CVE-2022-29826. Para el resto de vulnerabilidades asociadas, en algunos casos, está planeada próximamente la publicación de las correcciones. Hasta entonces, aplicar las medidas de mitigación descritas en el aviso del fabricante.
- GOT2000 Series: actualizar los modelos afectados a la versión 01.47.000 o posteriores.
Detalle:
La explotación de la vulnerabilidad de severidad crítica podría permitir a un atacante revelar o manipular información sensible. Como resultado, la información sobre los archivos del proyecto podría ser obtenida ilegalmente por usuarios no autorizados. Se ha asignado el identificador CVE-2022-29830 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-25164, CVE-2022-29825, CVE-2022-29826, CVE-2022-29827, CVE-2022-29828, CVE-2022-29829, CVE-2022-29831, CVE-2022-29832, CVE-2022-29833 y CVE-2022-40266.
Referencias: