CVE-2021-20826

Опубликовано: 24 дек. 2021

Источник: nvd

CVSS3: 7.6

CVSS2: 3.3

EPSS Низкий

Описание

Unprotected transport of credentials vulnerability in IDEC PLCs (FC6A Series MICROSmart All-in-One CPU module v2.32 and earlier, FC6A Series MICROSmart Plus CPU module v1.91 and earlier, WindLDR v8.19.1 and earlier, WindEDIT Lite v1.3.1 and earlier, and Data File Manager v2.12.1 and earlier) allows an attacker to obtain the PLC Web server user credentials from the communication between the PLC and the software. As a result, the complete access privileges to the PLC Web server may be obtained, and manipulation of the PLC output and/or suspension of the PLC may be conducted.

Ссылки

https://jvn.jp/en/vu/JVNVU92279973/index.html
Third Party Advisory
https://www.idec.com/home/lp/pdf/2021-12-24-PLC.pdf
Vendor Advisory
https://jvn.jp/en/vu/JVNVU92279973/index.html
Third Party Advisory
https://www.idec.com/home/lp/pdf/2021-12-24-PLC.pdf
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:idec:microsmart_fc6a_firmware:*:*:*:*:*:*:*:*

Версия до 2.32 (включая)

cpe:2.3:h:idec:microsmart_fc6a:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:idec:microsmart_plus_fc6a_firmware:*:*:*:*:*:*:*:*

Версия до 1.91 (включая)

cpe:2.3:h:idec:microsmart_plus_fc6a:-:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:idec:data_file_manager:*:*:*:*:*:*:*:*

Версия до 2.12.1 (включая)

cpe:2.3:a:idec:windedit:*:*:*:*:*:*:*:*

Версия до 1.3.1 (включая)

cpe:2.3:a:idec:windldr:*:*:*:*:*:*:*:*

Версия до 8.19.1 (включая)

EPSS

Процентиль: 26%

0.0009

Низкий

7.6 High

CVSS3

3.3 Low

CVSS2

Дефекты

CWE-522

Связанные уязвимости

GHSA-v3cv-2j8p-p6xh

github

около 4 лет назад