Múltiples vulnerabilidades en varios productos de Mitsubishi Electric

Fecha de publicación 19/06/2020
Importancia
5 - Crítica
Recursos Afectados
  • MC Works64, versiones 4.02C (10.95.208.31) y anteriores;
  • MC Works32, versión 3.00A (9.50.255.02).
Descripción

Varios investigadores han reportado 5 vulnerabilidades a ICONICS, una compañía del grupo Mitsubishi Electric, una con severidad crítica y 4 altas, de tipo escritura fuera de límites, deserialización de información no confiable e inyección de código.

Solución

Mitsubishi Electric recomienda actualizar a la última versión del software disponible.

Detalle
  • Un paquete de comunicación, especialmente diseñado, enviado a alguno de los productos afectados, podría causar una condición de denegación de servicio (DoS) o permitir la ejecución remota de código. Se ha reservado el identificador CVE-2020-12011 para esta vulnerabilidad.
  • Un paquete de comunicación, especialmente diseñado, enviado a los servicios de la plataforma MC Works64 afectada, podría causar una condición de denegación de servicio (DoS) debido a una deserialización incorrecta. Se ha reservado el identificador CVE-2020-12015 para esta vulnerabilidad.
  • Un paquete de comunicación, especialmente diseñado, enviado a la función Workbench Pack & Go del producto afectad MC Works64, podría permitir la ejecución remota de código debido a una deserialización incorrecta. Se ha reservado el identificador CVE-2020-12009 para esta vulnerabilidad.
  • Un mensaje, especialmente diseñado, enviado desde una función de cliente personalizada que interactúa con el servidor MC Works64 GridWorX afectado, podría permitir la ejecución de ciertos comandos SQL arbitrarios de forma remota y revelar datos internos, permitiendo la modificación de esos datos. Se ha reservado el identificador CVE-2020-12013 para esta vulnerabilidad.
  • Un paquete de comunicación, especialmente diseñado, enviado al servidor FrameWorX del producto afectado MC Works64, podría permitir la ejecución remota de código y causar una condición de denegación de servicio (DoS) debido una deserialización inadecuada. Se ha reservado el identificador CVE-2020-12007 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-170-02) Mitsubishi Electric MC Works64, MC Works32
Etiquetas