CVE-2022-29826
https://notcve.org/view.php?id=CVE-2022-29826
Cleartext Storage of Sensitive Information vulnerability in Mitsubishi Electric GX Works3 versions from 1.000A to 1.087R and Motion Control Setting(GX Works3 related software) versions from 1.000A to 1.042U allows a remote unauthenticated attacker to disclose sensitive information. As a result, unauthenticated users may view programs and project files or execute programs illegally. Vulnerabilidad de almacenamiento de texto sin cifrar de información sensible en las versiones de Mitsubishi Electric GX Works3 de 1.000A a 1.087R y de Motion Control Setting (software relacionado con GX Works3) de 1.000A a 1.042U permite que un atacante remoto no autenticado revele información confidencial. Como resultado, los usuarios no autenticados pueden ver programas y archivos de proyectos o ejecutar programas ilegalmente. • https://jvn.jp/vu/JVNVU97244961/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-05 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-015_en.pdf • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2022-29825
https://notcve.org/view.php?id=CVE-2022-29825
Use of Hard-coded Password vulnerability in Mitsubishi Electric GX Works3 versions from 1.000A to 1.090U and GT Designer3 Version1 (GOT2000) versions from 1.122C to 1.290C allows an unauthenticated attacker to disclose sensitive information. As a result, unauthenticated users may view programs and project files or execute programs illegally. El uso de la vulnerabilidad de contraseña codificada en las versiones Mitsubishi Electric GX Works3 de 1.000A a 1.090U y GT Designer3 Versión1 (GOT2000) de 1.122C a 1.290C permite que un atacante no autenticado revele información sensible. Como resultado, los usuarios no autenticados pueden ver programas y archivos de proyectos o ejecutar programas ilegalmente. • https://jvn.jp/vu/JVNVU97244961/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-05 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-015_en.pdf • CWE-259: Use of Hard-coded Password CWE-798: Use of Hard-coded Credentials •
CVE-2022-25164
https://notcve.org/view.php?id=CVE-2022-25164
Cleartext Storage of Sensitive Information vulnerability in Mitsubishi Electric GX Works3 versions from 1.000A to 1.095Z and Mitsubishi Electric MX OPC UA Module Configurator-R versions 1.08J and prior allows a remote unauthenticated attacker to disclose sensitive information. As a result, unauthenticated attackers can gain unauthorized access to the MELSEC CPU module and the MELSEC OPC UA server module. Vulnerabilidad de almacenamiento de texto sin cifrar de información confidencial en Mitsubishi Electric GX Works3 versiones de 1.000A a 1.095Z y Mitsubishi Electric MX OPC UA Module Configurator-R versiones 1.08J y anteriores permite que un atacante remoto no autenticado revele información sensible. Como resultado, atacantes no autenticados pueden obtener acceso no autorizado al módulo de CPU de MELSEC y al módulo de servidor OPC UA de MELSEC. • https://jvn.jp/vu/JVNVU97244961/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-05 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-015_en.pdf • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2022-40266 – Denial-of-Service (DoS) Vulnerability in FTP Server Function on GOT2000 Series
https://notcve.org/view.php?id=CVE-2022-40266
Improper Input Validation vulnerability in Mitsubishi Electric GOT2000 Series GT27 model FTP server versions 01.39.000 and prior, Mitsubishi Electric GOT2000 Series GT25 model FTP server versions 01.39.000 and prior and Mitsubishi Electric GOT2000 Series GT23 model FTP server versions 01.39.000 and prior allows a remote authenticated attacker to cause a Denial of Service condition by sending specially crafted command. Vulnerabilidad de validación de entrada incorrecta en el servidor FTP Mitsubishi Electric GOT2000 Serie modelo GT27 versiones 01.39.000 y anteriores, el servidor FTP Mitsubishi Electric GOT2000 Serie modelo GT25 versiones 01.39.000 y anteriores y el servidor FTP Mitsubishi Electric GOT2000 Serie modelo GT23 versiones 01.39.000 y anteriores lo permite un atacante remoto autenticado provoque una condición de denegación de servicio mediante el envío de un comando especialmente manipulado. • https://jvn.jp/vu/JVNVU95633416 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-016_en.pdf • CWE-20: Improper Input Validation •
CVE-2022-33321
https://notcve.org/view.php?id=CVE-2022-33321
Cleartext Transmission of Sensitive Information vulnerability due to the use of Basic Authentication for HTTP connections in Mitsubishi Electric consumer electronics products (PHOTOVOLTAIC COLOR MONITOR ECO-GUIDE, HEMS adapter, Wi-Fi Interface, Air Conditioning, Induction hob, Mitsubishi Electric HEMS Energy Measurement Unit, Refrigerator, Remote control with Wi-Fi Interface, BATHROOM THERMO VENTILATOR, Rice cooker, Mitsubishi Electric HEMS control adapter, Energy Recovery Ventilator, Smart Switch, Ventilating Fan, Range hood fan, Energy Measurement Unit and Air Purifier) allows a remote unauthenticated attacker to disclose information in the products or cause a denial of service (DoS) condition as a result by sniffing credential information (username and password). The wide range of models/versions of Mitsubishi Electric consumer electronics products are affected by this vulnerability. As for the affected product models/versions, see the Mitsubishi Electric's advisory which is listed in [References] section. Vulnerabilidad en la transmisión de texto plano de información confidencial debido al uso de autenticación básica para conexiones HTTP en productos de electrónica de consumo de Mitsubishi Electric (GUÍA ECO DEL MONITOR DE COLOR FOTOVOLTAICO, adaptador HEMS, interfaz Wi-Fi, aire acondicionado, placa de inducción, unidad de medición de energía HEMS de Mitsubishi Electric , refrigerador, control remoto con interfaz Wi-Fi, TERMO VENTILADOR DE BAÑO, olla arrocera, adaptador de control HEMS de Mitsubishi Electric, ventilador de recuperación de energía, interruptor inteligente, ventilador, ventilador de campana extractora, unidad de medición de energía y purificador de aire) permite un atacante remoto no autenticado revelar información en los productos o provocar una condición de Denegación de Servicio (DoS) como resultado del rastreo de información de credenciales (nombre de usuario y contraseña). La amplia gama de modelos/versiones de productos de electrónica de consumo de Mitsubishi Electric se ven afectados por esta vulnerabilidad. En cuanto a los modelos/versiones de productos afectados, consulte el aviso de Mitsubishi Electric que se enumera en la sección [References]. • https://jvn.jp/vu/JVNVU96767562/index.html https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-010.pdf https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-010_en.pdf • CWE-319: Cleartext Transmission of Sensitive Information •