关键漏洞信息 1. 概要 CVSS v3 分数: 7.5 严重性: 可远程利用/攻击复杂度低 供应商: 三菱电机(Mitsubishi Electric) 受影响设备: GOT2000系列、GOT SIMPLE系列、GT SoftGOT2000 漏洞类型: 输入验证不当(Improper Input Validation) 2. 风险评估 成功利用此漏洞可能会对系统操作造成不利影响。 3. 技术细节 3.1 受影响的产品 受此漏洞影响的三菱电机人机界面(HMI)产品包括: GOT2000系列 - GT27模型:所有版本 - GT25模型:所有版本 - GT23模型:所有版本 - GT21模型:所有版本 GOT SIMPLE系列 - GS21模型:所有版本 GT SoftGOT2000: 所有版本 3.2 漏洞概述 输入验证不当 (CWE-20): 受影响的产品存在一个信息篡改漏洞,攻击者可能发送恶意数据包重写设备值,对系统操作产生不利影响。 CVE编号: CVE-2021-20601 CVSS v3 基本分: 7.5 3.3 背景 关键基础设施领域: 关键制造业 部署国家/地区: 全世界 公司总部位置: 日本 3.4 研究者 这个漏洞是由COE-CNDS实验室、VJTI的Parul Sindhawad和Faruk Kazi博士报告给三菱电机的。 4. 缓解措施 三菱电机建议用户采取以下措施以最小化漏洞被利用的风险: 使用防火墙或虚拟私有网络(VPN)等,防止未经授权的访问。 在局域网内使用产品并阻止来自不可信网络和主机的访问。 在具有访问产品和系统的用户电脑上安装防病毒软件。 使用IP过滤功能限制可访问的IP地址。 为获得更多信息,请联系当地的三菱电机代表或参考三菱电机支持网站。 总体上,组织应执行适当的影响分析和风险评估并在部署防护措施前。