Mitsubishi Electric publica múltiples vulnerabilidades en Energy Saving Data Collecting Server

16/02/2022 Noticias 0

Mitsubishi Electric ha notificado que existen múltiples vulnerabilidades en Energy Saving Data Collecting Server, que permitirían a un atacante la extracción y manipulación de datos e incluso provocar denegación de servicio (DoS).

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 7 (siete) de severidad “Media”. Estas son, CVE-2017-18214CVE-2020-7746CVE-2016-10735CVE-2018-14040CVE-2018-14042CVE-2018-20676CVE-2019-8331CVE-2020-11022 y CVE-2020-11023. Las principales se detallan a continuación:

  • CVE-2017-18214 de severidad alta, con una puntuación de 7.5. Esta vulnerabilidad podría producir condiciones de denegación de servicio (DoS), debido a un consumo incontrolado de recursos relacionado a la explotación de una función desconocida vulnerable del módulo Moment de Node.js (hasta la versión 2.9.12)
  • CVE-2020-7746 de severidad alta, con una puntuación de 7.5. Esta vulnerabilidad se podría producir condiciones de denegación de servicio (DoS), relacionada a una función desconocida del componente Options Parameter Handler de la librería chart.js (hasta la versión 2.9.3) cuya manipulación permitiría a un atacante realizar escalamiento de privilegios.
  • CVE-2020-11023 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad ‎ de jQuery (versiones mayores o iguales a 1.0.3 y anteriores a 3.5.0) se relaciona con la función HTML cuya manipulación permitiría a un atacante realizar ataques XSS (cross-site scripting).‎

Los productos de Mitsubishi Electric afectados de la línea Energy Saving Data Collecting Server en sus versiones 3.0.0 a 3.3.0 son:

  • MES3-255C-EN
  • MES3-255C-DM-EN
  • MES3-255C-CN
  • MES3-255C-DM-CN

Recomendamos instalar la actualización correspondiente provista por Mitsubishi Electric en el siguiente enlace:

Referencias:

Compartir: