Mitsubishi Electric MELSEC iQ-R series 任意代码执行漏洞

CVE编号

CVE-2020-5657

利用情况

暂无

补丁情况

N/A

披露时间

2020-11-03

漏洞描述

Mitsubishi Electric MELSEC-Q Series等都是日本三菱电机（Mitsubishi Electric）公司的产品。MELSEC-Q Series是一款MELSEC-Q系列的可编程逻辑控制器。MELSEC-L Series是一款MELSEC-L系列的可编程逻辑控制器。MELSEC iQ-R series是一款可编程逻辑控制器。 Mitsubishi Electric MELSEC iQ-R, Q 和 L series 存在安全漏洞，攻击者可利用该漏洞可以传递一个特殊制作的包，该包可能允许攻击者造成拒绝服务条件或执行任意代码。以下产品及版本受到影响：EtherNet/IP Network Interface Module, RJ71EIP91： First 2 digits of serial number are 02 及之前版本，PROFINET IO Controller Module, RJ71PN92： First 2 digits of serial number are 01 及之前版本，High Speed Data Logger Module, RD81DL96： First 2 digits of serial number are 08 及之前版本，MES Interface Module, RD81MES96N： First 2 digits of serial number are 04 及之前版本，OPC UA Server Module, RD81OPC96： First 2 digits of serial number are 04 及之前版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://us.mitsubishielectric.com/en/index.html

参考链接
https://jvn.jp/vu/JVNVU92513419/index.html
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-012.pdf
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2020-012_en.pdf

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	mitsubishielectric	melsec_iq-rd81dl96_firmware	-	-
	运行在以下环境
	系统	mitsubishielectric	melsec_iq-rd81mes96n_firmware	-	-
	运行在以下环境
	系统	mitsubishielectric	melsec_iq-rd81opc96_firmware	-	-
	运行在以下环境
	系统	mitsubishielectric	melsec_iq-rj71eip91_firmware	-	-
	运行在以下环境
	系统	mitsubishielectric	melsec_iq-rj71pn92_firmware	-	-
	运行在以下环境
	硬件	mitsubishielectric	melsec_iq-rd81dl96	-	-
	运行在以下环境
	硬件	mitsubishielectric	melsec_iq-rd81mes96n	-	-
	运行在以下环境
	硬件	mitsubishielectric	melsec_iq-rd81opc96	-	-
	运行在以下环境
	硬件	mitsubishielectric	melsec_iq-rj71eip91	-	-
	运行在以下环境
	硬件	mitsubishielectric	melsec_iq-rj71pn92	-	-

CVSS3评分 6.5

• 攻击路径 相邻
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-ID	漏洞类型
CWE-88	参数注入或修改

Exp相关链接

- avd.aliyun.com