Argitalpen data: 2022/01/20

Garrantzia:Kritikoa

Kaltetutako baliabideak:

• MC Works64, 4.04E eta lehenagoko bertsioak;
• GENESIS64, 10.97 bertsioa.

Azalpena:

Mitsubishi Electric-ek 4 ahultasunen berri eman du: 1 larritasun kritikokoa, 1 altukoa eta 2 ertainak, informazioaren hedapen, autentifikazioaren gabezia eta zerbitzuaren ukapen (DoS) erakoak.

Konponbidea:

Kaltetutako produktuak eguneratzea fabrikatzailearen oharretako bakoitzaren Countermeasures atalean azaldutako urratsen arabera.

Xehetasuna:

• Autentifikazioaren gabezia erako ahultasun bat dago baimendu gabeko sarreren zerrenda osagabe batengatik. Erasotzaile batek autentifikazioa saihets lezake bereziki diseinatutako WebSocket paketeak bidaliz FrameWorX zerbitzarira, kaltetutako produktuen funtzioetako bat, eta horietara baimendu gabeko sarbidea eskuratu. Ahultasun kritiko horretarako CVE-2022-23128 identifikatzailea erabili da.
• Informazioaren hedapen erako ahultasun bat dago pasahitz bat testu lauan gordetzeagatik. GridWorX-en konfigurazio informazioa, kaltetutako produktuen datu basearen esteka funtzio bat, CSV fitxategi batera esportatzen denean, autentifikazioaren informazioa testu lauan gordetzen da fitxategian. CSVa eskuratzen duen erasotzaile lokal batek datu basera sarbide ilegala lor lezake. Larritasun altuko ahultasun horretarako CVE-2022-23129 identifikatzailea erabili da.

Larritasun ertaineko gainerako ahultasunetarako CVE-2022-23127 eta CVE-2022-23130 identifikatzaileak esleitu dira.

Etiketak:Eguneraketa, Komunikazioak, Azpiegitura kritikoak, Pribatutasuna, Ahultasuna