ICS-CERT informuje o nowych podatnościach w produktach firmy Mitsubishi Electric i ICONICS.(P24-218)

cert.pse-online.pl 3 dni temu

	Pakiet ICONICS obejmujący GENESIS64, Hyper Historian, AnalytiX i MobileHMI: Wersja 10.97.2 (CVE-2022-2650, CVE-2023-4807) AlarmWorX Multimedia (AlarmWorX64 MMX): Wszystkie wersje wcześniejsze niż 10.97.3 (CVE-2024-1182) MobileHMI: Wszystkie wersje wcześniejsze niż 10.97.3 (CVE-2024-1573) Pakiet ICONICS obejmujący GENESIS64, Hyper Historian, AnalytiX i MobileHMI: Wszystkie wersje wcześniejsze niż 10.97.3 (CVE-2024-1574)
Numer CVE	CVE-2022-2650
Krytyczność	3,7/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/D:L
Opis	Luka w zabezpieczeniach typu „odmowa usługi” spowodowana alokacją zasobów bez ograniczeń i ograniczania przepustowości.

Numer CVE	CVE-2023-4807
Krytyczność	5,9/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/D:H
Opis	Błąd w OpenSSL, który może uszkodzić wewnętrzny stan aplikacji na platformie Windows 64 podczas pracy na nowszych procesorach X86_64 obsługujących instrukcje AVX512-IFMA.

Numer CVE	CVE-2024-1182
Krytyczność	7,0/10
CVSS	AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Niekontrolowany element ścieżki wyszukiwania w agencie AlarmWorX64 MMX Pager może stwarzać ryzyko przejęcia DLL.

Numer CVE	CVE-2024-1573
Krytyczność	5,9/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Opis	Funkcja automatycznego logowania GENESIS64, używana z MobileHMI w określonych warunkach, może spowodować nadanie niewłaściwych uprawnień niezalogowanemu użytkownikowi.

Numer CVE	CVE-2024-1574
Krytyczność	6,7/10
CVSS	AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis	Użycie kontrolowanego zewnętrznie wejścia do wyboru klas lub warunku kodu („Niebezpieczne odbicie”) w usłudze licencyjnej (używanej przez licencjonowanie ICONICS) może skutkować nieprawidłowym warunkiem autoryzacji.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03