漏洞关键信息 漏洞编号 JVNVD#94620134 漏洞描述 概要: 三菱電機株式会社提供的多个FA产品存在多种脆弱性。 受影响的系统: 受影响的产品范围广泛,具体产品系列、型号和版本等详细信息需参考开发方提供的信息。 具体漏洞信息 1. 任意命令执行脆弱性 (CVE-2023-4699) - 漏洞类型: 专用协议通信中的重要功能认证不足 (CWE-306) - CVSS评分: 10.0 - 影响: 远程第三方可以通过特定数据包使产品接受任意命令,导致控制程序的读写、信息窃取或篡改、内存内容复位、服务拒绝(DoS)状态等。 2. Web服务器功能中的过度认证尝试不当限制 (CVE-2023-4625) - 漏洞类型: CPU单元Web服务器功能中对过度认证尝试的不当限制 (CWE-307) - CVSS评分: 5.3 - 影响: 远程第三方通过连续不正登录尝试,可能导致在一定期间内阻止正常用户的登录,从而阻止Web服务器功能的登录。 对策方法 绕道流动: 通过实施轻减措施可能减轻脆弱性的影响。 - 对产品进行适当的网络隔离和访问控制。 - 使用防火墙或VPN等防止不正访问。 - 利用硬件参数限制LAN的物理访问。 - 配置限制保守画面操作级别的设备参数。 参考信息 ICS Advisory 1. ICSA-23-306-03 2. ICSA-23-306-02 补充信息 JPCERT/CC: 提供了脆弱性分析结果和紧急报告等。 更新记录 2023/11/06: 增加ICS Advisory链接。 2024/02/15: 更新受影响系统和对策方法。 2024/11/12: 更新标题、概要、受影响系统等信息。