Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06092

Опубликовано: 19 сент. 2023
Источник: fstec
CVSS3: 9.3
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость программного обеспечения для программирования ПЛК Mitsubishi Electric GX Works3 вызвана неправильными разрешениями по умолчанию. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Вендор

Mitsubishi Electric Corporation

Наименование ПО

GX Works3

Версия ПО

до 1.065t (GX Works3)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-010_en.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.00034
Низкий

9.3 Critical

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-4088

CVSS3: 9.3
nvd
почти 2 года назад

Incorrect Default Permissions vulnerability in Mitsubishi Electric Corporation multiple FA engineering software products allows a malicious local attacker to execute a malicious code, resulting in information disclosure, tampering with and deletion, or a denial-of-service (DoS) condition, if the product is installed in a folder other than the default installation folder.

github логотип

GHSA-2325-58pf-r6qj

CVSS3: 9.3
github
почти 2 года назад

Incorrect Default Permissions vulnerability due to incomplete fix to address CVE-2020-14496 in Mitsubishi Electric Corporation FA engineering software products allows a malicious local attacker to execute a malicious code, which could result in information disclosure, tampering with and deletion, or a denial-of-service (DoS) condition. However, if the mitigated version described in the advisory for CVE-2020-14496 is used and installed in the default installation folder, this vulnerability does not affect the products.

EPSS

Процентиль: 8%
0.00034
Низкий

9.3 Critical

CVSS3

7.2 High

CVSS2