PT-2022-19862 · Mitsubishi · Gx Developer+2
Ivan Speziale
·
Publicado
2022-11-24
·
Atualizado
2023-05-31
·
CVE-2022-29832
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Mitsubishi Electric Corporation GX Works3, versões 1.015R e posteriores
Mitsubishi Electric Corporation GX Works2, todas as versões
Mitsubishi Electric Corporation GX Developer, versões 8.40S e posteriores
Descrição
A vulnerabilidade permite que um invasor remoto não autenticado divulgue informações confidenciais. Usuários não autenticados poderiam obter informações sobre o arquivo de projeto dos módulos de CPU de segurança MELSEC ou o arquivo de projeto da série MELSEC Q/FX/L com configuração de segurança.
Recomendações
Para o GX Works3 versões 1.015R e posteriores, atualize para uma versão que corrija a vulnerabilidade relacionada ao armazenamento de informações confidenciais em texto simples na memória.
Para todas as versões do GX Works2, considere restringir o acesso a arquivos de projeto confidenciais até que uma correção esteja disponível.
Para as versões 8.40S e posteriores do GX Developer, evite armazenar informações confidenciais na memória até que o problema seja resolvido.
Como solução alternativa temporária, considere desativar o acesso remoto aos arquivos de projeto dos módulos de CPU de segurança MELSEC ou da série MELSEC Q/FX/L com configuração de segurança até que um patch esteja disponível.
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gx Developer
Gx Works2
Gx Works3