| Produkt | ICONICS GENESIS64: Wersja 10.97.1 i wcześniejsze ICONICS Hyper Historian: wersja 10.97.1 i wcześniejsze ICONICS AnalytiX: Wersja 10.97.1 i wcześniejsze IKONIKA IoTWorX: Wersje 10.97 i 10.97.1 ICONICS MobileHMI: Wersje 10.97 i 10.97.1 ICONICS GraphWorX64: Wersja 10.97.1 i wcześniejsze ICONICS GenBrokerX64: Wersja 10.97.1 i wcześniejsze Mitsubishi Electric MC Works64: wersja 4.04E i wcześniejsze (v10.95.210.01), z wyłączeniem CVE-2022-29384 |
| Numer CVE | CVE-2022-29834 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | ICONICS MobileHMI i IoTWorX IoT Visualizer są narażone na lukę w zabezpieczeniach path traversal. W przypadku wykorzystania może to umożliwić przechodzenie przez system plików i dostęp do plików lub katalogów znajdujących się poza ograniczonym katalogiem na serwerze MobileHMI lub serwerze IoTWorX IoT Visualizer. To przejście może następnie spowodować ujawnienie informacji. |
| Numer CVE | CVE-2022-33315 and CVE-2022-33316 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | GraphWorX64, zawarty we wszystkich produktach pakietu ICONICS Suite i produktach Mitsubishi Electric MC Works64, ma wiele luk dotyczących deserializacji niezaufanych danych, które, jeżeli zostaną wykorzystane, mogą spowodować wykonanie kodu. |
| Numer CVE | CVE-2022-33317 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Skrypty GraphWorX64, zawarte we wszystkich produktach ICONICS Suite i Mitsubishi Electric MC Works64, są oparte na JScript i .NET. Przechowuje kod skryptu w plikach projektu GraphWorX64. Te pliki projektu można bezpośrednio edytować, co w przypadku wykorzystania może spowodować wykonanie kodu. |
| Numer CVE | CVE-2022-33318 |
| Krytyczność | 9.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | GenBrokerX64, zawarty we wszystkich produktach ICONICS Suite i Mitsubishi Electric MC Works64, zawiera lukę deserializacji, która może spowodować zdalne wykonanie kodu, jeżeli zostanie wykorzystana. |
| Numer CVE | CVE-2022-33319 |
| Krytyczność | 8.2/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H |
| Opis | GenBrokerX64, zawarty we wszystkich produktach pakietu ICONICS Suite i produktach Mitsubishi Electric MC Works64, zawiera błąd odczytu wykraczający poza granice, który w przypadku wykorzystania może spowodować ujawnienie informacji lub odmowę usługi. |
| Numer CVE | CVE-2022-33320 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Wszystkie produkty ICONICS Suite i Mitsubishi Electric MC Works64 zawierają lukę deserializacji, która może umożliwić złośliwym plikom konfiguracyjnym projektu wykonanie dowolnego kodu dzięki kodu XML na plikach. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-04 |
ICS-CERT informuje o nowych podatnościach w produktach firmy Mitsubishi Electric i ICONICS
Powiązane
Podatności w oprogramowaniu MegaBIP
6 dni temu
Jaką grubość płytki?
6 dni temu
Czym się różnią śruby do felg aluminiowych?
1 tydzień temu
Luka w CISCO umożliwiająca eskalację uprawnień. Łatajcie
1 tydzień temu
