多款Mitsubishi Electric产品授权问题漏洞

CVE编号

CVE-2020-14496

利用情况

暂无

补丁情况

N/A

披露时间

2022-05-20

漏洞描述

Mitsubishi Electric FR Configurator2等都是日本三菱电机（Mitsubishi Electric）公司的产品。Mitsubishi Electric FR Configurator2是一款变频器驱动配置应用程序。CW Configurator是一套用于PLC（可编程逻辑控制器）的参数设置、诊断和监控软件。Mitsubishi Electric CPU Module Logging Configuration Tool是一款FA工程软件中的CPU模块日志记录配置工具。 多款Mitsubishi Electric产品中存在授权问题漏洞。攻击者可利用该漏洞提升权限并执行恶意程序，进而导致拒绝服务，获取、篡改或破坏信息。以下产品及版本受到影响：Mitsubishi Electric CPU Module Logging Configuration Tool 1.100E及之前版本；CW Configurator 1.010L及之前版本；Data Transfer 3.40S及之前版本；EZSocket 4.5及之前版本；FR Configurator2 1.22Y及之前版本；GT Designer3 Version1 (GOT2000) 1.235V及之前版本；GT SoftGOT1000 Version3；GT SoftGOT2000 Version1 1.235V及之前版本；GX LogViewer 1.100E及之前版本；GX Works2 1.592S及之前版本；GX Works3 1.063R及之前版本；M_CommDTM-HART 1.00A版本；M_CommDTM-IO-Link；MELFA-Works 4.3及之前版本；MELSEC WinCPU Setting Utility；MELSOFT EM Software Development Kit (EM Configurator) 1.010L及之前版本；MELSOFT FieldDeviceConfigurator 1.03D及之前版本；MELSOFT Navigator 2.62Q及之前版本；MH11 SettingTool Version2 2.002C及之前版本；MI Configurator；Motorizer 1.005F及之前版本；MR Configurator2 1.105K及之前版本；MT Works2 1.156N及之前版本；MX Component 4.19V及之前版本；Network Interface Board CC IE Control utility；Network Interface Board CC IE Field Utility；Network Interface Board CC-Link Ver.2 Utility；Network Interface Board MNETH utility；PX Developer 1.52E及之前版本；RT ToolBox2 3.72A及之前版本；RT ToolBox3 1.70Y及之前版本；Setting/monitoring tools for the C Controller module。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://www.cisa.gov/uscert/ics/advisories/icsa-20-212-02

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mitsubishielectric	cpu_module_logging_configuration_tool	*		Up to (excluding) 1.106k
	运行在以下环境
	应用	mitsubishielectric	cw_configurator	*		Up to (excluding) 1.011m
	运行在以下环境
	应用	mitsubishielectric	data_transfer	*		Up to (excluding) 3.41t
	运行在以下环境
	应用	mitsubishielectric	em_configurator	*		Up to (excluding) 1.015r
	运行在以下环境
	应用	mitsubishielectric	ezsocket	*		Up to (excluding) 4.6
	运行在以下环境
	应用	mitsubishielectric	fr_configurator2	*		Up to (excluding) 1.23z
	运行在以下环境
	应用	mitsubishielectric	gt_designer3	*		Up to (excluding) 1.236w
	运行在以下环境
	应用	mitsubishielectric	gt_softgot1000	*		Up to (excluding) 3.245f
	运行在以下环境
	应用	mitsubishielectric	gt_softgot2000	*		Up to (excluding) 1.236w
	运行在以下环境
	应用	mitsubishielectric	gx_logviewer	*		Up to (excluding) 1.106k
	运行在以下环境
	应用	mitsubishielectric	gx_works2	*		Up to (excluding) 1.595v
	运行在以下环境
	应用	mitsubishielectric	gx_works3	*		Up to (excluding) 1.065t
	运行在以下环境
	应用	mitsubishielectric	melfa-works	*		Up to (excluding) 4.4
	运行在以下环境
	应用	mitsubishielectric	melsoft_fielddeviceconfigurator	*		Up to (excluding) 1.04e
	运行在以下环境
	应用	mitsubishielectric	melsoft_navigator	*		Up to (excluding) 2.70y
	运行在以下环境
	应用	mitsubishielectric	mh11_settingtool_version2	*		Up to (excluding) 2.003d
	运行在以下环境
	应用	mitsubishielectric	motorizer	*		Up to (excluding) 1.010l
	运行在以下环境
	应用	mitsubishielectric	mr_configurator2	*		Up to (excluding) 1.106l
	运行在以下环境
	应用	mitsubishielectric	mt_works2	*		Up to (excluding) 1.160s
	运行在以下环境
	应用	mitsubishielectric	mx_component	*		Up to (excluding) 4.20w
	运行在以下环境
	应用	mitsubishielectric	m_commdtm-hart	*		Up to (excluding) 1.01b
	运行在以下环境
	应用	mitsubishielectric	m_commdtm-io-link	*		Up to (excluding) 1.04e
	运行在以下环境
	应用	mitsubishielectric	network_interface_board_cc-link_ver.2_utility	*		Up to (excluding) 1.24a
	运行在以下环境
	应用	mitsubishielectric	network_interface_board_cc_ie_control_utility	*		Up to (excluding) 1.30g
	运行在以下环境
	应用	mitsubishielectric	network_interface_board_cc_ie_field_utility	*		Up to (excluding) 1.17t
	运行在以下环境
	应用	mitsubishielectric	network_interface_board_mneth_utility	*		Up to (excluding) 35m
	运行在以下环境
	应用	mitsubishielectric	px_developer	*		Up to (excluding) 1.53f
	运行在以下环境
	应用	mitsubishielectric	rt_toolbox2	*		Up to (excluding) 3.73b
	运行在以下环境
	应用	mitsubishielectric	rt_toolbox3	*		Up to (excluding) 1.80j

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com