Исправлены уязвимости в конфигурационном ПО Mitsubishi Electric FR Configurator2

Компания Mitsubishi Electric исправила уязвимости в конфигурационном программном обеспечении FR Configurator2. Эти уязвимости могут позволить злоумышленнику прочитать произвольные файлы или вызвать в работе ПО FR Configurator2 состояние отказа в обслуживании. Выявленные проблемы безопасности затрагивают все версии ПО до 1.16S включительно.

Первая уязвимость, CVE-2019-10976, обусловлена неправильным ограничением ссылки на внешнюю сущность XML (XXE), из-за чего любой файл на целевом компьютере может быть прочитан атакующим. Эта уязвимость получила оценку 7,1 балла по шкале CVSS v.3.

Вторая уязвимость, CVE-2019-10972, связана с неконтролируемым расходом ресурсов. Эта уязвимость позволяет злоумышленнику с использованием мошеннического файла проекта (.frc2) вызвать исчерпание ресурсов процессора, которое приведет к тому, что программное обеспечение перестанет отвечать на запросы до тех пор, пока приложение не будет перезапущено. Опасность этой уязвимости оценена в 5,5 баллов по шкале CVSS v.3.

Для устранения указанных уязвимостей производитель рекомендует обновить приложение до версии 1.17T.

Источники: ICS-CERT, Mitsubishi Electric