Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02053

Опубликовано: 14 мар. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость модулей центрального процессора микропрограммного обеспечения программируемых логических контроллеров MELSEC-Q Series и MELSEC-L Series связана с ошибками при масштабировании указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированного пакета

Вендор

Mitsubishi Electric Corporation

Наименование ПО

MELSEC Q03 UDVCPU
MELSEC Q03UDECPU
MELSEC Q04 UDEHCPU
MELSEC Q04 UDPVCPU
MELSEC Q06 UDEHCPU
MELSEC Q06 UDPVCPU
MELSEC Q06 UDVCPU
MELSEC Q10 UDEHCPU
MELSEC Q100UDEHCPU
MELSEC Q13 UDEHCPU
MELSEC Q13 UDPVCPU
MELSEC Q20 UDEHCPU
MELSEC Q26 UDEHCPU
MELSEC Q50 UDEHCPU
MELSEC Q26 UDVCPU
MELSEC Q26 UDPVCPU
MELSEC Q13 UDVCPU
MELSEC-L L02 CPU(-P)
MELSEC-L L06 CPU(-P)
MELSEC-L L26 CPU(-P)
MELSEC-L L26CPU-(P)BT

Версия ПО

- (MELSEC Q03 UDVCPU)
- (MELSEC Q03UDECPU)
- (MELSEC Q04 UDEHCPU)
- (MELSEC Q04 UDPVCPU)
- (MELSEC Q06 UDEHCPU)
- (MELSEC Q06 UDPVCPU)
- (MELSEC Q06 UDVCPU)
- (MELSEC Q10 UDEHCPU)
- (MELSEC Q100UDEHCPU)
- (MELSEC Q13 UDEHCPU)
- (MELSEC Q13 UDPVCPU)
- (MELSEC Q20 UDEHCPU)
- (MELSEC Q26 UDEHCPU)
- (MELSEC Q50 UDEHCPU)
- (MELSEC Q26 UDVCPU)
- (MELSEC Q26 UDPVCPU)
- (MELSEC Q13 UDVCPU)
- (MELSEC-L L02 CPU(-P))
- (MELSEC-L L06 CPU(-P))
- (MELSEC-L L26 CPU(-P))
- (MELSEC-L L26CPU-(P)BT)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- сегментирование сети с целью ограничения доступа к промышленному оборудованию;
- использование антивирусного программного обеспечения для отслеживания возможных попыток эксплуатации уязвимости;
- ограничение доступа из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-024_en.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.0036
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-0802

CVSS3: 9.8
nvd
почти 2 года назад

Incorrect Pointer Scaling vulnerability in Mitsubishi Electric Corporation MELSEC-Q Series and MELSEC-L Series CPU modules allows a remote unauthenticated attacker to read arbitrary information from a target product or execute malicious code on a target product by sending a specially crafted packet.

github логотип

GHSA-qprp-wpvg-34qr

CVSS3: 9.8
github
почти 2 года назад

Incorrect Pointer Scaling vulnerability in Mitsubishi Electric Corporation MELSEC-Q Series and MELSEC-L Series CPU modules allows a remote unauthenticated attacker to read arbitrary information from a target product or execute malicious code on a target product by sending a specially crafted packet.

EPSS

Процентиль: 58%
0.0036
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2