CVE-2021-20827

Опубликовано: 24 дек. 2021

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

Plaintext storage of a password vulnerability in IDEC PLCs (FC6A Series MICROSmart All-in-One CPU module v2.32 and earlier, FC6A Series MICROSmart Plus CPU module v1.91 and earlier, WindLDR v8.19.1 and earlier, WindEDIT Lite v1.3.1 and earlier, and Data File Manager v2.12.1 and earlier) allows an attacker to obtain the PLC Web server user credentials from file servers, backup repositories, or ZLD files saved in SD cards. As a result, the attacker may access the PLC Web server and hijack the PLC, and manipulation of the PLC output and/or suspension of the PLC may be conducted.

Ссылки

https://jvn.jp/en/vu/JVNVU92279973/index.html
Third Party Advisory
https://www.idec.com/home/lp/pdf/2021-12-24-PLC.pdf
Vendor Advisory
https://jvn.jp/en/vu/JVNVU92279973/index.html
Third Party Advisory
https://www.idec.com/home/lp/pdf/2021-12-24-PLC.pdf
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:idec:microsmart_fc6a_firmware:*:*:*:*:*:*:*:*

Версия до 2.32 (включая)

cpe:2.3:h:idec:microsmart_fc6a:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:idec:microsmart_plus_fc6a_firmware:*:*:*:*:*:*:*:*

Версия до 1.91 (включая)

cpe:2.3:h:idec:microsmart_plus_fc6a:-:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:idec:data_file_manager:*:*:*:*:*:*:*:*

Версия до 2.12.1 (включая)

cpe:2.3:a:idec:windedit:*:*:*:*:*:*:*:*

Версия до 1.3.1 (включая)

cpe:2.3:a:idec:windldr:*:*:*:*:*:*:*:*

Версия до 8.19.1 (включая)

EPSS

Процентиль: 36%

0.00151

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-312

Связанные уязвимости

GHSA-hxfc-cc7r-hxxv

github

около 4 лет назад