CVE-2025-3128

Amenaza crítica

CVE-2025-3128

CWE-78 Neutralización inadecuada de elementos especiales utilizados en un comando OS:

Un atacante remoto no autenticado que ha omitido la autenticación podría ejecutar comandos arbitrarios del SO para divulgar, manipular, destruir o eliminar información en la smartRTU de Mitsubishi Electric, o causar una condición de denegación de servicio en el producto.

Mitsubishi Electric Europe B.V. recomienda que los usuarios tomen nota de las siguientes medidas de mitigación para minimizar el riesgo de explotar esta vulnerabilidad:

Utilice un cortafuegos o una red privada virtual (VPN), etc. para evitar el acceso no autorizado cuando se requiera acceso a Internet.
Usar dentro de una LAN y bloquear el acceso desde redes y hosts no confiables a través de firewalls.
Utilice el cortafuegos de aplicaciones web (WAF) para evitar filtrar, supervisar y bloquear cualquier tráfico HTTP/HTTPS malicioso.
Permita el acceso del cliente web solo desde redes confiables.

Información sobre riesgos

ID de CVE

CVE-2025-3128

Proveedor

Mitsubishi Electric Europe B.V.

Producto

smartRTU

CVSS v3

9.8

Avisos

Asesoramiento de proveedores

Alerta

Política de divulgación

Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.

Descargar

Correo electrónico público y clave PGP

Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.

Consulte la clave PGP