Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación 30/01/2024
Identificador
INCIBE-2024-0048
Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos y versiones están afectados por las vulnerabilidades reportadas:

  • EZSocket, versiones 3.0 y posteriores.
  • FR Configurator2, todas las versiones.
  • GT Designer3 Version1(GOT1000), todas las versiones.
  • GT Designer3 Version1(GOT2000), todas las versiones.
  • GX Works2, versiones 1.11M y posteriores.
  • GX Works3, todas las versiones.
  • MELSOFT Navigator, versiones 1.04E y posteriores.
  • MT Works2, todas las versiones.
  • MX Component 4.00A, versiones y posteriores.
  • MX OPC Server DA/UA (software empaquetado con  MC Works64), todas las versiones.
Descripción

Reid Wightman, de Dragos Inc, ha reportado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, cuya explotación podría permitir a un atacante omitir mecanismos de autenticación y ejecutar código malicioso remotamente.

Solución

Mitsubishi Electric recomienda que los clientes tomen medidas de mitigación para minimizar el riesgo de explotar estas vulnerabilidades. Puede consultar las mismas en el enlace adjunto en la sección "Referencias".

Detalle

Vulnerabilidad de ejecución remota de código, por la cual un atacante podría ser capaz de ejecutar código malicioso llamando remotamente a una función con una ruta a una biblioteca maliciosa, mientras está conectado a los productos.

Como resultado, los usuarios no autorizados pueden revelar, manipular, destruir o borrar información de los productos, o provocar una situación de denegación de servicio (DoS) en los productos afectados.

Se ha asignado el identificador CVE-2023-6943 para esta vulnerabilidad de severidad crítica.

La vulnerabilidad alta tiene asignado el identificador CVE-2023-6942.