Múltiples vulnerabilidades en varios productos de Mitsubishi Electric

Fecha de publicación 01/07/2020
Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de los productos de software de ingeniería de Factory Automation se ven afectadas:

  • CPU Module Logging Configuration Tool, versiones 1.94Y y anteriores;
  • CW Configurator, versiones 1.010L y anteriores;
  • EM Software Development Kit (EM Configurator), versiones 1.010L y anteriores;
  • GT Designer3(GOT2000), versiones 1.221F y anteriores;
  • GX LogViewer, versiones 1.96A y anteriores;
  • GX Works2, versiones 1.586L y anteriores;
  • GX Works3, versiones 1.058L y anteriores;
  • M_CommDTM-HART, versión 1.00A;
  • M_CommDTM-IO-Link, versiones 1.02C y anteriores;
  • MELFA-Works, versiones 4.3 y anteriores;
  • MELSEC-L Flexible High-Speed I/O Control Module Configuration Tool, versiones 1.004E y anteriores;
  • MELSOFT FieldDeviceConfigurator, versiones 1.03D y anteriores;
  • MELSOFT iQ AppPortal, versiones 1.11M y anteriores;
  • MELSOFT Navigator, versiones 2.58L y anteriores;
  • MI Configurator, versiones 1.003D y anteriores;
  • Motion Control Setting, versiones 1.005F y anteriores;
  • MR Configurator2, versiones 1.72A y anteriores;
  • MT Works2, versiones 1.156N y anteriores;
  • RT ToolBox2, versiones 3.72A y anteriores;
  • RT ToolBox3, versiones 1.50C y anteriores.
Descripción

Mitsubishi Electric PSIRT (Product Security Incident Response Team) reportó a CISA 2 vulnerabilidades, una de criticidad alta y otra media, de tipo restricción incorrecta de referencia a entidad externa XML (XXE) y consumo de recursos incontrolado, que afectan a varios productos de Factory Automation.

Solución

Mitsubishi Electric recomienda que los usuarios afectados descarguen la última versión de cada producto de software del centro de descargas de Mitsubishi Electric y lo actualicen.

Detalle
  • La vulnerabilidad podría permitir que un atacante malintencionado envíe un archivo al exterior en el equipo que ejecuta el producto afectado. Se ha asignado el identificador CVE-2020-5602 para esta vulnerabilidad.
  • La vulnerabilidad podría permitir que un atacante malintencionado genere una condición de denegación de servicio (DoS) en el producto afectado. Se ha asignado el identificador CVE-2020-5603 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-182-02) Mitsubishi Electric Factory Automation Engineering Software Products
Etiquetas