Er is een kritieke kwetsbaarheid ontdekt in de webserver functie van de MELSEC iQ-F Series CPU modules van Mitsubishi Electric Corporation, geïdentificeerd als CVE-2025-5514. Deze kwetsbaarheid maakt het mogelijk voor een externe, niet-geauthenticeerde aanvaller om de verwerking van de webserverfunctie te vertragen en zo te verhinderen dat legitieme gebruikers de webserver kunnen gebruiken. Dit gebeurt door het verzenden van een speciaal gemaakte HTTP-aanvraag.
De kwetsbaarheid, aangeduid als CWE-130, betreft een onjuiste verwerking van de inconsistentie van de lengteparameter. Het risico is gecategoriseerd als een Denial-of-Service (DoS) aanval, met een CVSS-score van 5.3, wat het een middelmatige ernst geeft.
Overzicht
Dit beveiligingslek beïnvloedt onder meer de volgende producten:
- MELSEC iQ-F Series FX5U-32MT/ES, FX5U-32MT/DS, en andere modellen met versies 1.060 en later.
- FX5UJ-modellen zoals FX5UJ-24MT/ES en andere ‘All versions’.
Vraag en Antwoord
Wat is CVE-2025-5514?
CVE-2025-5514 is een kwetsbaarheid die de webserverfunctie van bepaalde Mitsubishi apparatuur aantast, waardoor deze kwetsbaar is voor Denial-of-Service aanvallen.
Welke systemen zijn kwetsbaar voor CVE-2025-5514?
De MELSEC iQ-F Series, met name modellen vanaf versie 1.060 en alle versies van modellen met FX5UJ en FX5S series, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Neem contact op met Mitsubishi Electric Corporation voor specifieke updates en patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door deze kwetsbaarheid de webserverfunctie vertragen, waardoor normale gebruikers niet kunnen inloggen of deze dienst niet kunnen gebruiken.
Bronnen
Zorg ervoor dat uw systemen zijn beschermd en updates zijn geïnstalleerd om te voorkomen dat kwaadwillenden zonder uw weten toegang krijgen.
