CVSS: 7.8EPSS: 0%CPEs: 118EXPL: 0CVE-2021-20609
https://notcve.org/view.php?id=CVE-2021-20609
Uncontrolled Resource Consumption vulnerability in Mitsubishi Electric MELSEC iQ-R Series R00/01/02CPU, MELSEC iQ-R Series R04/08/16/32/120(EN)CPU, MELSEC iQ-R Series R08/16/32/120SFCPU, MELSEC iQ-R Series R08/16/32/120PCPU, MELSEC iQ-R Series R08/16/32/120PSFCPU, MELSEC iQ-R Series R16/32/64MTCPU, MELSEC iQ-R Series R12CCPU-V, MELSEC Q Series Q03UDECPU, MELSEC Q Series Q04/06/10/13/20/26/50/100UDEHCPU, MELSEC Q Series Q03/04/06/13/26UDVCPU, MELSEC Q Series Q04/06/13/26UDPVCPU, MELSEC Q Series Q12DCCPU-V, MELSEC Q Series Q24DHCCPU-V(G), MELSEC Q Series Q24/26DHCCPU-LS, MELSEC Q Series MR-MQ100, MELSEC Q Series Q172/173DCPU-S1, MELSEC Q Series Q172/173DSCPU, MELSEC Q Series Q170MCPU, MELSEC Q Series Q170MSCPU(-S1), MELSEC L Series L02/06/26CPU(-P), MELSEC L Series L26CPU-(P)BT and MELIPC Series MI5122-VW allows a remote unauthenticated attacker to cause a denial-of-service (DoS) condition by sending specially crafted packets. System reset is required for recovery. Vulnerabilidad de consumo incontrolado de recursos en Mitsubishi Electric MELSEC iQ-R Series R00/01/02CPU Firmware versiones "24" y anteriores, Mitsubishi Electric MELSEC iQ-R Series R04/08/16/32/120(ES)CPU Firmware versiones "57" y anteriores, Mitsubishi Electric MELSEC iQ-R Series R08/16/32/120SFCPU Firmware versiones "28" y anteriores, Mitsubishi Electric MELSEC iQ-R Series R08/16/32/120PCPU Firmware versiones "29" y anteriores, Mitsubishi Electric MELSEC Serie iQ-R R08/16/32/120PSFCPU Versiones de firmware "08" y anteriores, Mitsubishi Electric MELSEC Serie iQ-R R16/32/64MTCPU Versión de software del sistema operativo "23" y anteriores, Mitsubishi Electric MELSEC Serie iQ-R R12CCPU-V Versiones de firmware "16" y anteriores, Mitsubishi Electric MELSEC Serie Q Q03UDECPU Los primeros 5 dígitos del número de serie "23121" y anteriores, Mitsubishi Electric MELSEC Q Series Q04/06/10/13/20/26/50/100UDEHCPU Los 5 primeros dígitos del número de serie "23121" y anteriores, Mitsubishi Electric MELSEC Q Series Q03/04/06/13/26UDVCPU Los 5 primeros dígitos del número de serie "23071" y anteriores, Mitsubishi Electric MELSEC Q Series Q04/06/13/26UDPVCPU Los 5 primeros dígitos del número de serie "23071" y anteriores, Mitsubishi Electric MELSEC Q Series Q12DCCPU-V Los 5 primeros dígitos del número de serie "24031" y anteriores, Mitsubishi Electric MELSEC Q Series Q24DHCCPU-V(G) Los 5 primeros dígitos del número de serie "24031" y anteriores, Mitsubishi Electric MELSEC Q Series Q24/26DHCCPU-LS Los 5 primeros dígitos del número de serie "24031" y anteriores, Mitsubishi Electric MELSEC Q Series MR-MQ100 Versión de software del sistema operativo "F" y anteriores, Mitsubishi Electric MELSEC Q Series Q172/173DCPU-S1 Versión de software del sistema operativo "W" y anteriores, Mitsubishi Electric MELSEC Q Series Q172/173DSCPU Todas las versiones, Mitsubishi Electric MELSEC Serie Q Q170MCPU Versión de software del sistema operativo "W" y anteriores, Mitsubishi Electric MELSEC Serie Q Q170MSCPU(-S1) Todas las versiones, Mitsubishi Electric MELSEC Serie L L02/06/26CPU(-P) Los primeros 5 dígitos del número de serie "23121" y anteriores, Mitsubishi Electric MELSEC Serie L26CPU-(P)BT Los primeros 5 dígitos del número de serie "23121" y anteriores y Mitsubishi Electric MELIPC Serie MI5122-VW Versiones de firmware "05" y anteriores permiten a un atacante remoto no autentificado provocar una condición de denegación de servicio (DoS) mediante el envío de paquetes especialmente diseñados. Se requiere un reinicio del sistema para la recuperación • https://jvn.jp/vu/JVNVU94434051/index.html https://us-cert.cisa.gov/ics/advisories/icsa-21-334-02 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-019_en.pdf • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.1EPSS: 0%CPEs: 38EXPL: 0CVE-2021-20593
https://notcve.org/view.php?id=CVE-2021-20593
Incorrect Implementation of Authentication Algorithm in Mitsubishi Electric Air Conditioning System/Centralized Controllers (G-50A Ver.2.50 to Ver. 3.35, GB-50A Ver.2.50 to Ver. 3.35, AG-150A-A Ver.3.20 and prior, AG-150A-J Ver.3.20 and prior, GB-50ADA-A Ver.3.20 and prior, GB-50ADA-J Ver.3.20 and prior, EB-50GU-A Ver 7.09 and prior, EB-50GU-J Ver 7.09 and prior, AE-200A Ver 7.93 and prior, AE-200E Ver 7.93 and prior, AE-50A Ver 7.93 and prior, AE-50E Ver 7.93 and prior, EW-50A Ver 7.93 and prior, EW-50E Ver 7.93 and prior, TE-200A Ver 7.93 and prior, TE-50A Ver 7.93 and prior, TW-50A Ver 7.93 and prior, CMS-RMD-J Ver.1.30 and prior) and Air Conditioning System/Expansion Controllers (PAC-YG50ECA Ver.2.20 and prior) allows a remote authenticated attacker to impersonate administrators to disclose configuration information of the air conditioning system and tamper information (e.g. operation information and configuration of air conditioning system) by exploiting this vulnerability. Una Implementación Incorrecta del Algoritmo de Autenticación en Mitsubishi Electric Air Conditioning System/Centralized Controllers versiones: (G-50A Versiones.2.50 hasta Versiones. 3.35, GB-50A Versiones.2.50 hasta Versiones. 3.35, AG-150A-A Ver.3.20 y anteriores, AG-150A-J Ver.3.20 y anteriores, GB-50ADA-A Versiones.3.20 y anteriores, GB-50ADA-J Versiones.3 .20 y anteriores, EB-50GU-A Versiones 7.09 y anteriores, EB-50GU-J Versiones 7.09 y anteriores, AE-200A Versiones 7.93 y anteriores, AE-200E Versiones 7.93 y anteriores, AE-50A Versiones 7.93 y anteriores, AE-50E Versiones 7.93 y anteriores, EW-50A Versiones 7.93 y anteriores, EW-50E Versiones 7.93 y anteriores, TE-200A Versiones 7.93 y anteriores, TE-50A Versiones 7.93 y anteriores, TW-50A Versiones 7.93 y anteriores, CMS-RMD-J Versiones.1 .30 y anteriores) y los Controladores del Air Conditioning System/Expansion (PAC-YG50ECA Versiones .2.20 y anteriores) permiten a un atacante remoto autenticado hacerse pasar por administrador para divulgar información de configuración del sistema de aire acondicionado e información de manipulación (por ejemplo, información de funcionamiento y configuración del sistema de aire acondicionado) al explotar esta vulnerabilidad • https://jvn.jp/vu/JVNVU96046575/index.html https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-004_en.pdf • CWE-287: Improper Authentication •
CVSS: 8.5EPSS: 0%CPEs: 38EXPL: 0CVE-2021-20595
https://notcve.org/view.php?id=CVE-2021-20595
Improper Restriction of XML External Entity Reference vulnerability in Mitsubishi Electric Air Conditioning System/Centralized Controllers (G-50A Ver.3.35 and prior, GB-50A Ver.3.35 and prior, GB-24A Ver.9.11 and prior, AG-150A-A Ver.3.20 and prior, AG-150A-J Ver.3.20 and prior, GB-50ADA-A Ver.3.20 and prior, GB-50ADA-J Ver.3.20 and prior, EB-50GU-A Ver 7.09 and prior, EB-50GU-J Ver 7.09 and prior, AE-200A Ver 7.93 and prior, AE-200E Ver 7.93 and prior, AE-50A Ver 7.93 and prior, AE-50E Ver 7.93 and prior, EW-50A Ver 7.93 and prior, EW-50E Ver 7.93 and prior, TE-200A Ver 7.93 and prior, TE-50A Ver 7.93 and prior, TW-50A Ver 7.93 and prior, CMS-RMD-J Ver.1.30 and prior), Air Conditioning System/Expansion Controllers (PAC-YG50ECA Ver.2.20 and prior) and Air Conditioning System/BM adapter(BAC-HD150 Ver.2.21 and prior) allows a remote unauthenticated attacker to disclose some of data in the air conditioning system or cause a DoS condition by sending specially crafted packets. Una vulnerabilidad de restricción inapropiada de referencia de tipo XML External Entity en Mitsubishi Electric Air Conditioning System/Centralized Controllers versiones: (G-50A Ver.3.35 y anteriores, GB-50A Ver.3.35 y anteriores, GB-24A Ver.9.11 y anteriores, AG-150A-A Ver.3.20 y anteriores, AG-150A-J Ver.3.20 y anteriores, GB-50ADA-A Ver.3.20 y anteriores, GB-50ADA-J Ver.3 .20 y anteriores, EB-50GU-A Ver 7.09 y anteriores, EB-50GU-J Ver 7.09 y anteriores, AE-200A Ver 7.93 y anteriores, AE-200E Ver 7.93 y anteriores, AE-50A Ver 7.93 y anteriores, AE-50E Ver 7.93 y anteriores, EW-50A Ver 7.93 y anteriores, EW-50E Ver 7.93 y anteriores, TE-200A Ver 7.93 y anteriores, TE-50A Ver 7.93 y anteriores, TW-50A Ver 7.93 y anteriores, CMS-RMD-J Ver.1 .30 y anteriores), Air Conditioning System/Expansion Controllers (PAC-YG50ECA Ver.2.20 y anteriores) y Sistema de Aire Acondicionado/Adaptador BM (BAC-HD150 Ver.2.21 y anteriores) permite a un atacante remoto no autenticado divulgar algunos de los datos del sistema de aire acondicionado o causar una condición de DoS mediante el envío de paquetes especialmente diseñados • https://jvn.jp/vu/JVNVU93086468/index.html https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-005_en.pdf • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2021-20589
https://notcve.org/view.php?id=CVE-2021-20589
Buffer access with incorrect length value vulnerability in GOT2000 series GT27 model communication driver versions 01.19.000 through 01.38.000, GT25 model communication driver versions 01.19.000 through 01.38.000, GT23 model communication driver versions 01.19.000 through 01.38.000 and GT21 model communication driver versions 01.21.000 through 01.39.000, GOT SIMPLE series GS21 model communication driver versions 01.21.000 through 01.39.000, GT SoftGOT2000 versions 1.170C through 1.250L and Tension Controller LE7-40GU-L Screen package data for MODBUS/TCP V1.00 allows a remote unauthenticated attacker to stop the communication function of the products via specially crafted packets. Una Vulnerabilidad de Acceso del Búfer de valor de longitud incorrecto en GOT2000 series GT27 model communication driver versiones 01.19.000 hasta 01.38.000, GT25 model communication driver versiones 01.19.000 hasta 01.38.000, GT23 model communication driver versiones 01.19.000 hasta 01.38.000 y GT21 model communication driver versiones 01.21.000 hasta 01.39.000, GOT SIMPLE series GS21 model communication driver versiones 01.21.000 hasta 01.39.000, GT SoftGOT2000 versiones 1.170C hasta 1.250L y el paquete de datos de Pantalla Tension Controller LE7-40GU-L para MODBUS/TCP versión V1.00, permite a un atacante remoto no autenticado detener la función de comunicación de los productos por medio de paquetes especialmente diseñados • https://jvn.jp/vu/JVNVU99895108/index.html https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-002_en.pdf • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2015-3938 – Mitsubishi Melsec FX3G-24M Denial Of Service
https://notcve.org/view.php?id=CVE-2015-3938
The HTTP application on Mitsubishi Electric MELSEC FX3G PLC devices before April 2015 allows remote attackers to cause a denial of service (device outage) via a long parameter. Aplicación HTTP en dispositivos Mitsubishi Electric MELSEC FX3G PLC en versiones anteriores a April 2015, permite a atacantes remotos provocar una denegación de servicio (interrupción del dispositivo) a través de un parámetro largo. Mitsubishi Melsec FX3G-24M suffers from a denial of service vulnerability. • https://ics-cert.us-cert.gov/advisories/ICSA-15-146-01 • CWE-399: Resource Management Errors •