Múltiples vulnerabilidades en MELSOFT iQ AppPortal de Mitsubishi Electric

Fecha de publicación 21/02/2023
Importancia
5 - Crítica
Recursos Afectados
  • MELSOFT iQ AppPortal, versiones comprendidas entre la 1.00A y la 1.29F.
Descripción

Mitsubishi Electric ha informado de dos vulnerabilidades, una de severidad crítica y otra de severidad alta, que podrían permitir a un atacante eludir la autenticación, acceder a información sensible o ejecutar una denegación de servicio (DoS).

Solución

Mitsubishi Electric recomienda actualizar a la versión de software 1.32J o posterior.

Detalle

MELSOFT iQ AppPortal, proporcionado por Mitsubishi Electric, está equipado con el software de servidor VisualSVN Server. En el caso de que un usuario active mod_proxy o mod_ajp en la configuración del servidor VisualSVN, el software de Mitsubishi Electric se verá afectado por las siguientes vulnerabilidades:

  • CVE-2022-26377: vulnerabilidad de severidad alta, que podría permitir a un atacante eludir la autenticación, acceder a información sensible y realizar una denegación de servicio (DoS), explotando la interpretación incoherente de solicitudes HTTP.
  • CVE-2022-31813: vulnerabilidad de severidad crítica, que podría permitir a un atacante realizar un bypass de la autenticación, explotando una verificación insuficiente de la autenticidad de los datos.

Encuesta valoración

Listado de referencias
HTTP Request Smuggling Vulnerability and IP Address Authentication Bypass Vulnerability in MELSOFT iQ AppPortal
ICS Advisory (ICSA-23-052-01) Mitsubishi Electric MELSOFT iQ AppPortal
Etiquetas