Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02217

Опубликовано: 14 мар. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость модулей центрального процессора микропрограммного обеспечения программируемых логических контроллеров MELSEC-Q Series и MELSEC-L Series связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Mitsubishi Electric Corporation

Наименование ПО

MELSEC Q03 UDVCPU
MELSEC Q03UDECPU
MELSEC Q04 UDEHCPU
MELSEC Q04 UDPVCPU
MELSEC Q04 UDVCPU
MELSEC Q06 UDPVCPU
MELSEC Q06 UDVCPU
MELSEC Q10 UDEHCPU
MELSEC Q100UDEHCPU
MELSEC Q13 UDEHCPU
MELSEC Q13 UDPVCPU
MELSEC Q20 UDEHCPU
MELSEC Q26 UDEHCPU
MELSEC Q50 UDEHCPU
MELSEC Q26 UDVCPU
MELSEC Q26 UDPVCPU
MELSEC Q13 UDVCPU
MELSEC-L L02 CPU(-P)
MELSEC-L L06 CPU(-P)
MELSEC-L L26 CPU(-P)
MELSEC-L L26CPU-(P)BT

Версия ПО

- (MELSEC Q03 UDVCPU)
- (MELSEC Q03UDECPU)
- (MELSEC Q04 UDEHCPU)
- (MELSEC Q04 UDPVCPU)
- (MELSEC Q04 UDVCPU)
- (MELSEC Q06 UDPVCPU)
- (MELSEC Q06 UDVCPU)
- (MELSEC Q10 UDEHCPU)
- (MELSEC Q100UDEHCPU)
- (MELSEC Q13 UDEHCPU)
- (MELSEC Q13 UDPVCPU)
- (MELSEC Q20 UDEHCPU)
- (MELSEC Q26 UDEHCPU)
- (MELSEC Q50 UDEHCPU)
- (MELSEC Q26 UDVCPU)
- (MELSEC Q26 UDPVCPU)
- (MELSEC Q13 UDVCPU)
- (MELSEC-L L02 CPU(-P))
- (MELSEC-L L06 CPU(-P))
- (MELSEC-L L26 CPU(-P))
- (MELSEC-L L26CPU-(P)BT)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование физического либо логического разграничения доступа к вычислительной сети с ПЛК MELSEC путем разграничения доступа межсетевыми экранами с выделением отдельной подсети для промышленного оборудования;
- использование СЗИ с возможностью настройки белых/черных списков для ограничения доступа недоверенных пользователей и хостов к ПЛК MELSEC;
- ограничение физического доступа к ПЛК MELSEC.
Использование рекомендаций производителя:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-024_en.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.00425
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-1916

CVSS3: 9.8
nvd
почти 2 года назад

Integer Overflow or Wraparound vulnerability in Mitsubishi Electric Corporation MELSEC-Q Series and MELSEC-L Series CPU modules allows a remote unauthenticated attacker to execute malicious code on a target product by sending a specially crafted packet.

github логотип

GHSA-wvp9-cm8c-37mr

CVSS3: 9.8
github
почти 2 года назад

Integer Overflow or Wraparound vulnerability in Mitsubishi Electric Corporation MELSEC-Q Series and MELSEC-L Series CPU modules allows a remote unauthenticated attacker to execute malicious code on a target product by sending a specially crafted packet.

EPSS

Процентиль: 62%
0.00425
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2