Mitsubishi Electric MELSOFT Actualizador de Software SW1DND-UDM-M
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
Ver resumen de CSAF La explotación exitosa de estas vulnerabilidades podría permitir a un atacante local modificar o destruir información en el producto afectado, causar una condición de denegación de servicio en el producto afectado o ejecutar código arbitrario cuando se descomprima un archivo comprimido especialmente elaborado por el componente 7-Zip incluido en MELSOFT Update Manager. Las siguientes versiones de Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M son afectadas: MELSOFT Update Manager SW1DND-UDM-M >=1.000A|<=1.014Q (CVE-2025-53816, CVE-2025-53817, CVE-2025-55188, CVE-2025-11001) CVSS Vulnerabilidades de Equipos de Proveedor v3 8.8 Mitsubishi Electric Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M Desbordamiento de Búfer Basado en Heap, Desreferencia de Puntero NULO, Resolución de Enlace Incorrecta Antes del Acceso al Archivo ('Seguimiento de Enlace'), Limitación Incorrecta de un Nombre de Ruta a un Directorio Restringido ('Traversación de Ruta') Antecedentes Sectores Críticos de Infraestructura: Fabricación Crítica Países/Áreas Desplegadas: Mundial Ubicación de la Sede de la Empresa: Japón Vulnerabilidades Expandir Todo + CVE-2025-53816 Existe una vulnerabilidad de desbordamiento de búfer basado en heap en el componente 7-Zip incluido en MELSOFT Update Manager SW1DND-UDM-M. Esta vulnerabilidad podría permitir a un atacante local desencadenar un desbordamiento de búfer que puede causar que el producto afectado entre en una condición de denegación de servicio al convencer a un usuario legítimo de descomprimir un archivo comprimido especialmente elaborado utilizando el producto afectado. Ver detalles de CVE Productos Afectados Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M Proveedor: Mitsubishi Electric Versión del Producto: Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M: >=1.000A|<=1.014Q Estado del Producto: conocido_afectado Remedios Mitigación Mitsubishi Electric ha identificado los siguientes pasos de solución y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo: Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.co.jp/fa/download/index.html Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar la PC con el producto afectado dentro de una LAN y bloquear inicios de sesión remotos desde redes, hosts y usuarios no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar un firewall, una red privada virtual (VPN) o controles similares de seguridad de red para prevenir accesos no autorizados y permitir solo a usuarios confiables iniciar sesión de forma remota cuando se requiera acceso a Internet, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda restringir el acceso físico a la PC con el producto afectado y la red a la que está conectada la PC, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda prevenir que los usuarios hagan clic en enlaces web en correos electrónicos de fuentes no confiables, o de abrir archivos adjuntos en correos electrónicos no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda instalar software antivirus en la PC con el producto afectado, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para más información consulte el aviso de seguridad asociado de Mitsubishi Electric 2026-004: https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf. https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf CWE relevante: CWE-122 Desbordamiento de Búfer Basado en Heap Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 5 MEDIO CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H 4.0 5.1 MEDIO CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVE-2025-53817 Existe una vulnerabilidad de desreferencia de puntero NULO en el componente 7-Zip incluido en MELSOFT Update Manager SW1DND-UDM-M. Esta vulnerabilidad podría permitir a un atacante local desencadenar una desreferencia de puntero NULO que puede causar que el producto afectado entre en una condición de denegación de servicio al convencer a un usuario legítimo de descomprimir un archivo comprimido especialmente elaborado utilizando el producto afectado. Ver detalles de CVE Productos Afectados Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M Proveedor: Mitsubishi Electric Versión del Producto: Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M: >=1.000A|<=1.014Q Estado del Producto: conocido_afectado Remedios Mitigación Mitsubishi Electric ha identificado los siguientes pasos de solución y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo: Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.co.jp/fa/download/index.html Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar la PC con el producto afectado dentro de una LAN y bloquear inicios de sesión remotos desde redes, hosts y usuarios no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar un firewall, una red privada virtual (VPN) o controles similares de seguridad de red para prevenir accesos no autorizados y permitir solo a usuarios confiables iniciar sesión de forma remota cuando se requiera acceso a Internet, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda restringir el acceso físico a la PC con el producto afectado y la red a la que está conectada la PC, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda prevenir que los usuarios hagan clic en enlaces web en correos electrónicos de fuentes no confiables, o de abrir archivos adjuntos en correos electrónicos no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda instalar software antivirus en la PC con el producto afectado, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para más información consulte el aviso de seguridad asociado de Mitsubishi Electric 2026-004: https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf. https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf CWE relevante: CWE-476 Desreferencia de Puntero NULO Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 5 MEDIO CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H 4.0 5.1 MEDIO CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVE-2025-55188 Existe una vulnerabilidad de seguimiento de enlace en el componente 7-Zip incluido en MELSOFT Update Manager SW1DND-UDM-M. Esta vulnerabilidad podría permitir a un atacante local modificar o destruir información al convencer a un usuario legítimo de descomprimir un archivo comprimido especialmente elaborado utilizando el producto afectado. Si los archivos modificados o destruidos son necesarios para el funcionamiento de la PC, la PC afectada podría entrar en una condición de denegación de servicio. Ver detalles de CVE Productos Afectados Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M Proveedor: Mitsubishi Electric Versión del Producto: Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M: >=1.000A|<=1.014Q Estado del Producto: conocido_afectado Remedios Mitigación Mitsubishi Electric ha identificado los siguientes pasos de solución y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo: Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.co.jp/fa/download/index.html Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar la PC con el producto afectado dentro de una LAN y bloquear inicios de sesión remotos desde redes, hosts y usuarios no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar un firewall, una red privada virtual (VPN) o controles similares de seguridad de red para prevenir accesos no autorizados y permitir solo a usuarios confiables iniciar sesión de forma remota cuando se requiera acceso a Internet, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda restringir el acceso físico a la PC con el producto afectado y la red a la que está conectada la PC, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda prevenir que los usuarios hagan clic en enlaces web en correos electrónicos de fuentes no confiables, o de abrir archivos adjuntos en correos electrónicos no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda instalar software antivirus en la PC con el producto afectado, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para más información consulte el aviso de seguridad asociado de Mitsubishi Electric 2026-004: https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf. https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf CWE relevante: CWE-59 Resolución de Enlace Incorrecta Antes del Acceso al Archivo ('Seguimiento de Enlace') Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 7.9 ALTA CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H 4.0 6.9 MEDIO CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:H/SA:H CVE-2025-11001 Existe una vulnerabilidad de traversación de ruta en el componente 7-Zip incluido en MELSOFT Update Manager SW1DND-UDM-M. Esta vulnerabilidad podría permitir a un atacante local ejecutar código arbitrario al descomprimir un archivo comprimido especialmente elaborado utilizando el producto afectado. Como resultado, el producto afectado puede verse impactado de maneras como el robo de información, manipulación de información, una condición de denegación de servicio u otros impactos. Ver detalles de CVE Productos Afectados Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M Proveedor: Mitsubishi Electric Versión del Producto: Mitsubishi Electric MELSOFT Update Manager SW1DND-UDM-M: >=1.000A|<=1.014Q Estado del Producto: conocido_afectado Remedios Mitigación Mitsubishi Electric ha identificado los siguientes pasos de solución y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo: Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.co.jp/fa/download/index.html Solución del proveedor Mitsubishi Electric está lanzando la versión corregida 1.015R o posterior para MELSOFT Update Manager SW1DND-UDM-M. Por favor, descargue el archivo de actualización para la versión corregida desde el enlace "https://www.mitsubishielectric.co.jp/fa/download/index.html" (Este sitio está en japonés) e instálelo. Para más información sobre la versión corregida, consulte el aviso de seguridad de Mitsubishi Electric en "https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf". https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar la PC con el producto afectado dentro de una LAN y bloquear inicios de sesión remotos desde redes, hosts y usuarios no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda usar un firewall, una red privada virtual (VPN) o controles similares de seguridad de red para prevenir accesos no autorizados y permitir solo a usuarios confiables iniciar sesión de forma remota cuando se requiera acceso a Internet, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda restringir el acceso físico a la PC con el producto afectado y la red a la que está conectada la PC, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda prevenir que los usuarios hagan clic en enlaces web en correos electrónicos de fuentes no confiables, o de abrir archivos adjuntos en correos electrónicos no confiables, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para los usuarios que no pueden actualizar el producto de inmediato, Mitsubishi Electric recomienda instalar software antivirus en la PC con el producto afectado, para minimizar el riesgo de explotación de esta vulnerabilidad. Mitigación Para más información consulte el aviso de seguridad asociado de Mitsubishi Electric 2026-004: https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf. https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2026-004_en.pdf CWE relevante: CWE-22 Limitación Incorrecta de un Nombre de Ruta a un Directorio Restringido ('Traversación de Ruta') Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 8.8 ALTA CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 4.0 9.3 CRÍTICO CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H Agradecimientos Mitsubishi Electric informó estas vulnerabilidades a CISA Aviso legal y Términos de uso Este producto se proporciona sujeto a este Aviso (https://www.cisa.gov/notification) y esta política de Privacidad y Uso (https://www.cisa.gov/privacy-policy). Prácticas recomendadas CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas. CISA también proporciona una sección de prácticas recomendadas de seguridad para sistemas de control en la página web de ICS en cisa.gov. Hay varios productos de CISA que detallan las mejores prácticas de defensa cibernética que están disponibles para lectura y descarga, incluyendo Mejorando la Ciberseguridad de Sistemas de Control Industrial con Estrategias de Defensa en Profundidad. CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de ICS. Orientaciones adicionales de mitigación y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov en el documento de información técnica, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas. Las organizaciones que observen actividad maliciosa sospechosa deben seguir los procedimientos internos establecidos y reportar hallazgos a CISA para su seguimiento y correlación con otros incidentes. CISA también recomienda a los usuarios que tomen las siguientes medidas para protegerse de ataques de ingeniería social: No haga clic en enlaces web ni abra archivos adjuntos en mensajes de correos electrónicos no solicitados. Consulte Reconocimiento y Prevención de Estafas por Email para más información sobre cómo evitar estafas por correo. Consulte Evitando Ataques de Ingeniería Social y Phishing para más información sobre ataques de ingeniería social. No se ha informado hasta el momento de ninguna explotación pública conocida que apunte específicamente a estas vulnerabilidades. Estas vulnerabilidades no son explotables de forma remota. Historial de revisiones Fecha de publicación inicial: 2026-06-30 Resumen de la revisión de fecha 2026-06-30 1 Republicación inicial de Mitsubishi Electric 2026-004 Aviso legal y Términos de uso
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
