CRITICAL🇬🇧 English

CVE-2025-14816

Przechowywanie poświadczeń SQL w postaci jawnej w GUI produktów Mitsubishi Electric

CVSS 9.3v4.0pub. 2026-04-08

Podatność klasy CWE-317 w szeregu produktów Mitsubishi Electric i Iconics Digital Solutions powoduje wyświetlanie poświadczeń do serwera SQL w postaci jawnego tekstu (cleartext) w interfejsie graficznym funkcji Hyper Historian Splitter. Lokalny atakujący może odczytać te dane i uzyskać nieautoryzowany dostęp do bazy danych, co niesie poważne ryzyko dla integralności i dostępności danych przemysłowych.

Pokaż oryginał (EN)

Cleartext Storage of Sensitive Information in GUI vulnerability in Mitsubishi Electric GENESIS64 versions 10.97.3 and prior, Mitsubishi Electric ICONICS Suite versions 10.97.3 and prior, Mitsubishi Electric MobileHMI versions 10.97.3 and prior, Mitsubishi Electric Hyper Historian versions 10.97.3 and prior, Mitsubishi Electric AnalytiX versions 10.97.3 and prior, Mitsubishi Electric GENESIS versions 11.02 and prior, Mitsubishi Electric MC Works64 all versions, Mitsubishi Electric Iconics Digital Solutions GENESIS64 versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions ICONICS Suite versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions MobileHMI versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions Hyper Historian versions 10.97.3 and prior, Mitsubishi Electric Iconics Digital Solutions AnalytiX versions 10.97.3 and prior, and Mitsubishi Electric Iconics Digital Solutions GENESIS versions 11.02 and prior allows a local attacker to disclose the SQL Server credentials displayed in plain text in the GUI of the Hyper Historian Splitter feature by exploiting this vulnerability, when SQL authentication is used for the SQL Server authentication. As a result, the unauthorized attacker could access the SQL Server and disclose, tamper with, or destroy data on the server, potentially cause a denial-of-service (DoS) condition on the system.

🤖 Analiza AI
Jak działa

Gdy w konfiguracji systemu wybrana jest metoda uwierzytelniania SQL (SQL authentication), interfejs graficzny funkcji Hyper Historian Splitter prezentuje login i hasło do serwera SQL w postaci niezaszyfrowanej. Lokalny atakujący z dostępem do stacji roboczej lub serwera może po prostu odczytać te poświadczenia z ekranu lub zrzutu ekranu bez potrzeby żadnych zaawansowanych technik eksploatacji. Zdobyte dane uwierzytelniające pozwalają następnie na bezpośrednie zalogowanie się do serwera SQL.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do serwera SQL i odczytać, zmodyfikować lub trwale usunąć przechowywane dane, a także potencjalnie wywołać stan odmowy usługi (DoS) w systemie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradniki CISA ICSA-26-097-01 oraz Mitsubishi Electric PSIRT 2025-023). Jako dodatkowe środki zaradcze zaleca się ograniczenie dostępu fizycznego i logicznego do stacji, na których uruchomiono podatne produkty, a także rozważenie zastąpienia uwierzytelniania SQL metodą uwierzytelniania Windows (Integrated Security), jeśli jest to obsługiwane w danym środowisku.

Kogo dotyczy

Mitsubishi Electric GENESIS64 i Iconics Digital Solutions GENESIS64 wersje 10.97.3 i wcześniejsze; Mitsubishi Electric ICONICS Suite i Iconics Digital Solutions ICONICS Suite wersje 10.97.3 i wcześniejsze; Mitsubishi Electric MobileHMI i Iconics Digital Solutions MobileHMI wersje 10.97.3 i wcześniejsze; Mitsubishi Electric Hyper Historian i Iconics Digital Solutions Hyper Historian wersje 10.97.3 i wcześniejsze; Mitsubishi Electric AnalytiX i Iconics Digital Solutions AnalytiX wersje 10.97.3 i wcześniejsze; Mitsubishi Electric GENESIS i Iconics Digital Solutions GENESIS wersje 11.02 i wcześniejsze; Mitsubishi Electric MC Works64 — wszystkie wersje

Uwagi

Podatność dotyczy wyłącznie scenariusza, w którym skonfigurowane jest uwierzytelnianie SQL (SQL authentication) dla serwera SQL; konfiguracje używające uwierzytelniania Windows nie są narażone na ujawnienie poświadczeń tą drogą.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-14816 — Przechowywanie poświadczeń SQL w postaci jawnej w GUI produktów Mitsubishi Electric — CRITICAL 9.3 | CVEbaza.pl