[Actualización 20/06/2023] Divulgación de información en MELSEC iQ-F Series de Mitsubishi Electric
INCIBE-2023-0079
Todas las versiones de los siguientes productos de la serie MELSEC iQ-F están afectados por la vulnerabilidad reportada:
- FX5U(C) CPU modules, todos los modelos;
- FX5UJ CPU modules, todos los modelos;
- FX5S CPU modules, todos los modelos;
- FX5-ENET;
- FX5-ENET/IP.
[Actualización 20/06/2023]
Todas las versiones de los siguientes productos están afectados por la vulnerabilidad reportada:
MELSEC iQ-R Series:
- R00/01/02CPU;
- R04/08/16/32/120(EN)CPU;
- R08/16/32/120SFCPU;
- R08/16/32/120PCPU;
- R08/16/32/120PSFCPU;
- RJ71EN71;
- R12CCPU-V.
MELSEC-Q Series:
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU;
- Q03/04/06/13/26UDVCPU;
- Q04/06/13/26UDPVCPU;
- QJ71E71-100.
MELSEC-L Series:
- L02/06/26CPU(-P), L26CPU-(P)BT;
- LJ71E71-100.
JeongHoon Bae, YiJoon Jung, JinYoung Kim, HyeokJong Yun y HeeA Go, de HelloT, han reportado una vulnerabidad de severidad alta, que podría permitir a un atacante no autenticado obtener credenciales en texto plano.
Mitsubishi Electric recomienda a los clientes afectados llevar a cabo una serie de medidas de mitigación para minimizar el riesgo de que esta vulnerabilidad sea explotada. Más información aquí.
Un atacante no autenticado podría iniciar sesión en el servidor FTP o en el servidor web de los recursos afectados, obteniendo las credenciales en texto plano almacenadas en los archivos de proyecto. Se ha asignado el identificador CVE-2023-0457 para esta vulnerabilidad.
