В решении FR Configurator2 от Mitsubishi обнаружены опасные уязвимости

В ПО для управления преобразователями частоты FR Configurator2 от компании Mitsubishi Electric обнаружено несколько уязвимостей, позволяющих раскрывать информацию, повышать права и вызывать отказ в обслуживании.

FR Configurator2 — инструмент для установки, программирования, настройки и контроля преобразователей частоты. Уязвимости затрагивают версии FR Configurator2 1.16S и ниже.

Первая проблема представляет собой XXE-уязвимость, которая предоставляет возможность просмотреть и извлечь произвольные данные на затронутом узле. Уязвимость связана с XML-парсером и в определенных обстоятельствах может быть использована для выполнения произвольного кода (в зависимости от платформы). Уязвимость получила оценку в 8,8 балла по шкале CVSSv3.

Вторая уязвимость в FR Configurator2 позволяет вызвать отказ в обслуживании при открытии жертвой специально сформированного файла проекта. Уязвимость получила оценку в 5,5 балла.

Третья проблема — уязвимость, позволяющая повысить привилегии на системе. С ее помощью неавторизированный пользователь (гостевой аккаунт) может запустить вредоносный файл с повышенными правами при запуске приложения. Уязвимость существует из-за небезопасной реализации разрешений файлов и может быть проэксплуатирована путем замены легитимного компонента программного обеспечения его вредоносной версией.

Производитель выпустил исправленную версию 1.16S и рекомендует всем пользователям обновить ПО, а также не открывать файлы проекта из недоверенных источников.