CVSS: 6.7EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1574
https://notcve.org/view.php?id=CVE-2024-1574
Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') vulnerability in the licensing feature of ICONICS GENESIS64 versions 10.97 to 10.97.2, Mitsubishi Electric GENESIS64 versions 10.97 to 10.97.2 and Mitsubishi Electric MC Works64 all versions allows a local attacker to execute a malicious code with administrative privileges by tampering with a specific file that is not protected by the system. El uso de entrada controlada externamente para seleccionar clases o vulnerabilidad de código ("Reflejo inseguro") en la función de licencia de ICONICS GENESIS64 versiones 10.97 a 10.97.2, Mitsubishi Electric GENESIS64 versiones 10.97 a 10.97.2 y Mitsubishi Electric MC Works64 todas las versiones permite una un atacante local ejecute un código malicioso con privilegios administrativos manipulando un archivo específico que no está protegido por el sistema. • https://jvn.jp/vu/JVNVU98894016 https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2024-004_en.pdf • CWE-470: Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1573
https://notcve.org/view.php?id=CVE-2024-1573
Improper Authentication vulnerability in the mobile monitoring feature of ICONICS GENESIS64 versions 10.97 to 10.97.2, Mitsubishi Electric GENESIS64 versions 10.97 to 10.97.2 and Mitsubishi Electric MC Works64 all versions allows a remote unauthenticated attacker to bypass proper authentication and log in to the system when all of the following conditions are met: * Active Directory is used in the security setting. * “Automatic log in” option is enabled in the security setting. * The IcoAnyGlass IIS Application Pool is running under an Active Directory Domain Account. * The IcoAnyGlass IIS Application Pool account is included in GENESIS64TM and MC Works64 Security and has permission to log in. Vulnerabilidad de autenticación incorrecta en la función de monitoreo móvil de ICONICS GENESIS64 versiones 10.97 a 10.97.2, Mitsubishi Electric GENESIS64 versiones 10.97 a 10.97.2 y Mitsubishi Electric MC Works64 todas las versiones permite que un atacante remoto no autenticado omita la autenticación adecuada e inicie sesión en el sistema cuando Se cumplen todas las condiciones siguientes: * Se utiliza Active Directory en la configuración de seguridad. * La opción "Inicio de sesión automático" está habilitada en la configuración de seguridad. * El grupo de aplicaciones IcoAnyGlass IIS se ejecuta en una cuenta de dominio de Active Directory. * La cuenta del grupo de aplicaciones IcoAnyGlass IIS está incluida en GENESIS64TM y MC Works64 Security y tiene permiso para iniciar sesión. • https://jvn.jp/vu/JVNVU98894016 https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2024-004_en.pdf • CWE-287: Improper Authentication •
CVSS: 7.0EPSS: 0%CPEs: 3EXPL: 0CVE-2024-1182
https://notcve.org/view.php?id=CVE-2024-1182
Uncontrolled Search Path Element vulnerability in ICONICS GENESIS64 all versions, Mitsubishi Electric GENESIS64 all versions and Mitsubishi Electric MC Works64 all versions allows a local attacker to execute a malicious code by storing a specially crafted DLL in a specific folder when GENESIS64 and MC Works64 are installed with the Pager agent in the alarm multi-agent notification feature. Vulnerabilidad no controlada del elemento de ruta de búsqueda en ICONICS GENESIS64 todas las versiones, Mitsubishi Electric GENESIS64 todas las versiones y Mitsubishi Electric MC Works64 todas las versiones permite a un atacante local ejecutar un código malicioso almacenando una DLL especialmente manipulada en una carpeta específica cuando GENESIS64 y MC Works64 están instalados con el agente buscapersonas en la función de notificación de alarma de múltiples agentes. • https://jvn.jp/vu/JVNVU98894016 https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2024-004_en.pdf • CWE-427: Uncontrolled Search Path Element •
CVSS: 5.3EPSS: 0%CPEs: 63EXPL: 0CVE-2023-7033
https://notcve.org/view.php?id=CVE-2023-7033
Insufficient Resource Pool vulnerability in Ethernet function of Mitsubishi Electric Corporation MELSEC iQ-F Series CPU modules allows a remote attacker to cause a temporary Denial of Service condition for a certain period of time in Ethernet communication of the products by performing TCP SYN Flood attack. Vulnerabilidad de grupo de recursos insuficiente en la función Ethernet de los módulos de CPU de la serie MELSEC iQ-F de Mitsubishi Electric Corporation permite que un atacante remoto cause una condición de denegación de servicio temporal durante un cierto período de tiempo en la comunicación Ethernet de los productos mediante la realización de un ataque TCP SYN Flood. • https://jvn.jp/vu/JVNVU96145466/index.html https://www.cisa.gov/news-events/ics-advisories/icsa-24-058-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-023_en.pdf • CWE-410: Insufficient Resource Pool •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2023-6815
https://notcve.org/view.php?id=CVE-2023-6815
Incorrect Privilege Assignment vulnerability in Mitsubishi Electric Corporation MELSEC iQ-R Series Safety CPU R08/16/32/120SFCPU all versions and MELSEC iQ-R Series SIL2 Process CPU R08/16/32/120PSFCPU all versions allows a remote authenticated attacker who has logged into the product as a non-administrator user to disclose the credentials (user ID and password) of a user with a lower access level than the attacker by sending a specially crafted packet. Vulnerabilidad de asignación de privilegios incorrecta en Mitsubishi Electric Corporation MELSEC iQ-R Series Safety CPU R08/16/32/120SFCPU todas las versiones y MELSEC iQ-R Series SIL2 Process CPU R08/16/32/120PSFCPU todas las versiones permite a un atacante autenticado remoto que haya iniciado sesión ingresa al producto como usuario no administrador para revelar las credenciales (ID de usuario y contraseña) de un usuario con un nivel de acceso más bajo que el atacante mediante el envío de un paquete especialmente manipulado. • https://jvn.jp/vu/JVNVU95085830/index.html https://www.cisa.gov/news-events/ics-advisories/icsa-24-044-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-021_en.pdf • CWE-266: Incorrect Privilege Assignment •