ICS-CERT informuje o nowych podatnościach w produktach firmy Mitsubishi Electric (P24-035)

cert.pse-online.pl 10 miesięcy temu
ProduktEZSocket: Wersje 3.0 i nowsze
FR Configurator2: Wszystkie wersje
GT Designer3 Wersja 1 (GOT1000): Wszystkie wersje
GT Designer3 Wersja 1 (GOT2000): Wszystkie wersje
GX Works2: Wersje 1.11M i nowsze GX Works3: Wszystkie wersje
MELSOFT Navigator: Wersje 1.04E i nowsze
MT Works2: Wszystkie wersje
Komponent MX: wersje 4.00A i nowsze
MX OPC Server DA/UA (oprogramowanie w pakiecie MC Works64): Wszystkie wersje
Numer CVECVE-2023-6942
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
OpisZdalny, nieuwierzytelniony atakujący może ominąć uwierzytelnianie, wysyłając specjalnie spreparowane pakiety i łącząc się z produktami.
Numer CVECVE-2023-6943
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisOsoba atakująca może być w stanie wykonać złośliwy kod, zdalnie wywołując funkcję ze ścieżką do złośliwej biblioteki, gdy jest połączona z produktami. W rezultacie nieautoryzowani użytkownicy mogą ujawnić, modyfikować, niszczyć lub usuwać informacje zawarte w produktach lub powodować stan odmowy usługi (DoS) w produktach.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-030-02
ProduktWS0-GETH00200: Wszystkie numery seryjne
Numer CVECVE-2023-6374
Krytyczność5,9/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
OpisW modułach interfejsu Ethernet serii MELSEC WS występuje luka w zabezpieczeniach umożliwiająca obejście uwierzytelnienia. Zdalny, nieuwierzytelniony atakujący może ominąć uwierzytelnianie, atakując przechwytywanie i odtwarzanie i logując się do modułów. W rezultacie zdalnie atakujący, który się zalogował, może być w stanie ujawnić lub zmodyfikować programy i parametry w modułach.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-030-03
Idź do oryginalnego materiału