CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23127
https://notcve.org/view.php?id=CVE-2022-23127
Cross-site Scripting vulnerability in Mitsubishi Electric MC Works64 versions 4.04E (10.95.210.01) and prior and ICONICS MobileHMI versions 10.96.2 and prior allows a remote unauthenticated attacker to gain authentication information of an MC Works64 or MobileHMI and perform any operation using the acquired authentication information, by injecting a malicious script in the URL of a monitoring screen delivered from the MC Works64 server or MobileHMI server to an application for mobile devices and leading a legitimate user to access this URL. Una vulnerabilidad de tipo Cross-site Scripting en Mitsubishi Electric MC Works64 versiones 4.04E (10.95.210.01) y anteriores, y en ICONICS MobileHMI versiones 10.96.2 y anteriores, permite a un atacante remoto no autenticado conseguir información de autenticación de un MC Works64 o MobileHMI y llevar a cabo cualquier operación usando la información de autenticación adquirida, inyectando un script malicioso en la URL de una pantalla de monitorización entregada desde el servidor MC Works64 o el servidor MobileHMI a una aplicación para dispositivos móviles y llevando a un usuario legítimo a acceder a esta URL • https://jvn.jp/vu/JVNVU95403720/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-22-020-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-025_en.pdf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23129
https://notcve.org/view.php?id=CVE-2022-23129
Plaintext Storage of a Password vulnerability in Mitsubishi Electric MC Works64 versions 4.04E (10.95.210.01) and prior and ICONICS GENESIS64 versions 10.90 to 10.97 allows a local authenticated attacker to gain authentication information and to access the database illegally. This is because when configuration information of GridWorX, a database linkage function of GENESIS64 and MC Works64, is exported to a CSV file, the authentication information is saved in plaintext, and an attacker who can access this CSV file can gain the authentication information. Una vulnerabilidad de almacenamiento de texto plano de una contraseña en Mitsubishi Electric MC Works64 versiones 4.04E (10.95.210.01) y anteriores y en ICONICS GENESIS64 versiones 10.90 a 10.97, permite a un atacante local autenticado conseguir información de autenticación y acceder a la base de datos de forma ilegal. Esto es debido a que cuando la información de configuración de GridWorX, una función de enlace de bases de datos de GENESIS64 y MC Works64, es exportada a un archivo CSV, la información de autenticación es guardada en texto plano, y un atacante que pueda acceder a este archivo CSV puede conseguir la información de autenticación • https://jvn.jp/vu/JVNVU95403720/index.html https://us-cert.cisa.gov/ics/advisories/icsa-22-020-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-027_en.pdf • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-23130
https://notcve.org/view.php?id=CVE-2022-23130
Buffer Over-read vulnerability in Mitsubishi Electric MC Works64 versions 4.00A (10.95.201.23) to 4.04E (10.95.210.01), ICONICS GENESIS64 versions 10.97 and prior and ICONICS Hyper Historian versions 10.97 and prior allows an attacker to cause a DoS condition in the database server by getting a legitimate user to import a configuration file containing specially crafted stored procedures into GENESIS64 or MC Works64 and execute commands against the database from GENESIS64 or MC Works64. Una vulnerabilidad de lectura excesiva del búfer en Mitsubishi Electric MC Works64 versiones 4.00A (10.95.201.23) a 4.04E (10.95.210.01), en ICONICS GENESIS64 versiones 10.97 y anteriores, y en ICONICS Hyper Historian versiones 10.97 y anteriores, permite a un atacante causar una condición de denegación de servicio en el servidor de la base de datos al hacer que un usuario legítimo importe un archivo de configuración que contenga procedimientos almacenados especialmente diseñados en GENESIS64 o MC Works64 y ejecute comandos contra la base de datos desde GENESIS64 o MC Works64 • https://jvn.jp/vu/JVNVU95403720/index.html https://us-cert.cisa.gov/ics/advisories/icsa-22-020-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-028_en.pdf • CWE-125: Out-of-bounds Read •
CVSS: 7.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-20613
https://notcve.org/view.php?id=CVE-2021-20613
Improper initialization vulnerability in MELSEC-F series FX3U-ENET Firmware version 1.16 and prior, FX3U-ENET-L Firmware version 1.16 and prior and FX3U-ENET-P502 Firmware version 1.16 and prior allows a remote unauthenticated attacker to cause a denial-of-service (DoS) condition in communication function of the product by sending specially crafted packets. Control by MELSEC-F series PLC is not affected by this vulnerability, but system reset is required for recovery. Una vulnerabilidad de inicialización inapropiada en FX3U-ENET serie MELSEC-F, versiones de Firmware 1.16 y anteriores, FX3U-ENET-L versiones de Firmware 1.16 y anteriores, y FX3U-ENET-P502 versiones de Firmware 1.16 y anteriores, permite a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en la función de comunicación del producto mediante el envío de paquetes especialmente diseñados. El control por parte del PLC de la serie MELSEC-F no está afectado por esta vulnerabilidad, pero es necesario reiniciar el sistema para recuperarlo • https://jvn.jp/vu/JVNVU93268332/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-07 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-024_en.pdf • CWE-665: Improper Initialization •
CVSS: 7.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-20612
https://notcve.org/view.php?id=CVE-2021-20612
Lack of administrator control over security vulnerability in MELSEC-F series FX3U-ENET Firmware version 1.14 and prior, FX3U-ENET-L Firmware version 1.14 and prior and FX3U-ENET-P502 Firmware version 1.14 and prior allows a remote unauthenticated attacker to cause a denial-of-service (DoS) condition in communication function of the product or other unspecified effects by sending specially crafted packets to an unnecessary opening of TCP port. Control by MELSEC-F series PLC is not affected by this vulnerability, but system reset is required for recovery. Una falta de control del administrador sobre la vulnerabilidad de seguridad en la serie MELSEC-F FX3U-ENET Firmware versión 1.14 y anteriores, FX3U-ENET-L Firmware versión 1.14 y anteriores y FX3U-ENET-P502 Firmware versión 1.14 y anteriores permite que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en la función de comunicación del producto u otros efectos no especificados mediante el envío de paquetes especialmente diseñados a una apertura no necesaria del puerto TCP. El control por parte del PLC de la serie MELSEC-F no está afectado por esta vulnerabilidad, pero es necesario reiniciar el sistema para recuperarlo • https://jvn.jp/vu/JVNVU93268332/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-023_en.pdf •