关键信息总结 1. 漏洞概述 CVE编号: CVE-2020-14523 CVSS v3 评分: 8.3 影响范围: 可远程利用/低攻击复杂度 厂商: 三菱电机(Mitsubishi Electric) 受影响设备: 三菱电机工厂自动化产品 漏洞类型: 路径遍历 (Path Traversal) 2. 风险评估 成功利用该漏洞可能导致攻击者获取未经授权的信息、篡改信息并导致服务拒绝。 3. 技术细节 3.1 受影响产品 CW Configurator, Versions 1.010L及以下 FR Configurator2, Versions 1.22Y及以下 GX Works2, Versions 1.595V及以下 GX Works3, Versions 1.063R及以下 MELSEC iQ-R Series Motion Module, Versions 10及以下 MELSOFT iQ AppPortal, Version 1.17T及以下 MELSOFT Navigator, 2.70Y及以下 MI Configurator, versions 1.004E及以下 MR Configurator2, Version 1.110Q及以下 MT Works2, Versions 1.156N及以下 MX Component, Version 4.20W及以下 RT ToolBox3, Versions 1.70Y及以下 3.2 漏洞概述 CWE-22: 路径遍历 多款三菱电机工厂自动化产品存在漏洞,允许攻击者执行任意代码。 4. 缓解措施 更新至以下版本或更高版本: - CW Configurator: 1.011M 及以上 - FR Configurator2: 1.23Z 及以上 - GX Works2: 1.596W 及以上 - GX Works3: 1.065T 及以上 - MELSEC iQ-R Series Motion Module: 12 及以上 - MELSOFT iQ AppPortal: 1.20W 及以上 - MELSOFT Navigator: 2.74C 及以上 - MI Configurator: 1.005F 及以上 - MR Configurator2: 1.115V 及以上 - MT Works2: 1.160S 及以上 - MX Component: 4.21X 及以上 - RT ToolBox3: 1.80J 及以上 对于尚未发布修复版或无法立即更新的产品: 确保收到的文件来自正确的源 使用非管理员账户操作产品 安装防病毒软件(不包括MELSEC iQ-R Series Motion Module) 限制网络暴露,使用防火墙隔离控制网络 使用VPN进行远程访问 5. 其他信息 报告人: Mashav Sapir of Claroty 该漏洞影响关键制造业部门,全球部署 厂商总部位于日本