PT-2022-4548 · Mitsubishi+1 · Mitsubishi Electric Mc Works64+1
Publicado
2022-01-20
·
Atualizado
2022-01-27
·
CVE-2022-23129
CVSS v2.0
6.8
Média
| Vetor | AV:L/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Mitsubishi Electric MC Works64 versões 4.04E (10.95.210.01) e anteriores
ICONICS GENESIS64 versões 10.90 a 10.97
Descrição
A vulnerabilidade permite que um invasor local autenticado obtenha informações de autenticação e acesse o banco de dados ilegalmente devido ao armazenamento da senha em texto simples. Isso ocorre quando as informações de configuração do GridWorX, uma função de ligação de banco de dados, são exportadas para um arquivo CSV, salvando as informações de autenticação em texto simples. Um invasor com acesso a esse arquivo CSV pode obter as informações de autenticação.
Recomendações
Para o Mitsubishi Electric MC Works64 versões 4.04E (10.95.210.01) e anteriores, atualize para uma versão posterior à 4.04E (10.95.210.01) para resolver o problema.
Para as versões 10.90 a 10.97 do ICONICS GENESIS64, atualize para uma versão posterior à 10.97 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à função de ligação ao banco de dados do GridWorX para minimizar o risco de exploração.
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Iconics Genesis64
Mitsubishi Electric Mc Works64