关键信息 1. 漏洞概述 CVE编号: CVE-2023-24567, CVE-2023-24568 影响产品: Mitsubishi Electric FA Engineering Software Products (Update H) 漏洞类型: - Heap-based Buffer Overflow (CVE-2023-24567) - Improper Handling of Length Parameter Inconsistencies (CVE-2023-24568) 2. 影响的产品 受影响的软件版本: - GT Designer Version 1.00 to 1.22 - GX Developer Version 1.00 to 1.22 - Q Series Version 1.00 to 1.22 - K Series Version 1.00 to 1.22 - PLC Configurator Version 1.00 to 1.22 - Network Configurator Version 1.00 to 1.22 - Fx Configurator Version 1.00 to 1.22 - Melsec iQ-FX Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 - Melsec iQ-R Configurator Version 1.00 to 1.22 3. 风险评估 CVSS评分: - CVE-2023-24567: 9.1 (高危) - CVE-2023-24568: 7.5 (高危) 4. 技术细节 漏洞描述: - Heap-based Buffer Overflow (CVE-2023-24567): 攻击者可以通过发送特制的数据包触发堆溢出,导致远程代码执行。 - Improper Handling of Length Parameter Inconsistencies (CVE-2023-24568): 软件在处理长度参数不一致时存在缺陷,可能导致数据损坏或拒绝服务。 5. 缓解措施 建议措施: - 更新到最新版本的软件。 - 应用厂商提供的安全补丁。 - 限制对受影响系统的网络访问。 6. 更新历史 发布日期: 2023-09-15 更新记录: 包括多次更新和修订,以确保信息的准确性和完整性。