Mitsubishi Electric MELSEC iQ-R series 访问控制错误漏洞

CVE编号

CVE-2021-20597

利用情况

暂无

补丁情况

N/A

披露时间

2021-08-07

漏洞描述

Mitsubishi Electric MELSEC iQ-R series是日本三菱电机（Mitsubishi Electric）公司的一款可编程逻辑控制器。 Mitsubishi Electric MELSEC iQ-R 系列产品存在访问控制错误漏洞，该漏洞源于产品未对凭证添加有效的保护机制，攻击者可通过用户注册、更改密码时通过嗅探工具获得凭证从而未经授权的登录到目标。

解决建议

以下产品及版本受到影响：Mitsubishi Electric MELSEC iQ-R R08/16/32/120SFCPU 所有固件版本，Mitsubishi Electric MELSEC iQ-R R08/16/32/120PSFCPU 所有固件版本。目前厂商暂未发布修复措施解决此安全问题。

参考链接
https://jvn.jp/vu/JVNVU98578731/index.html
https://www.cisa.gov/uscert/ics/advisories/icsa-21-250-01
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-009_en.pdf

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	mitsubishielectric	r08_psfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r08_sfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r120_psfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r120_sfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r16_psfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r16_sfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r32_psfcpu_firmware	*	-
	运行在以下环境
	系统	mitsubishielectric	r32_sfcpu_firmware	*	-
	运行在以下环境
	硬件	mitsubishielectric	r08_psfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r08_sfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r120_psfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r120_sfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r16_psfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r16_sfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r32_psfcpu	-	-
	运行在以下环境
	硬件	mitsubishielectric	r32_sfcpu	-	-

CVSS3评分 9.1

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-ID	漏洞类型
CWE-522	不充分的凭证保护机制

Exp相关链接

- avd.aliyun.com