关键信息 漏洞概述 漏洞类型: 信息泄露和拒绝服务(DoS) 受影响产品: MELSEC iQ-F 系列 CPU 模块 发布日期: 2025年5月29日 CVSS评分: 9.1 (高危) 影响的产品 系列: MELSEC iQ-F 系列 产品名称及版本: - FX5U-MV/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS: 所有版本 - FX5UC-xMV/z x=32,64,96, y=T,R, z=D,DSS: 所有版本 - FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS: 所有版本 - FX5UJ-xMV/z x=24,40,60, y=T,R, z=ES,DS,ESS,DSS: 所有版本 - FX5UJ-xMV/ESA^1 x=24,40,60, y=T,R: 所有版本 - FX5S-xMV/z x=30,40,60,80^1, y=T,R, z=ES,DS,DSS: 所有版本 描述 原因: 由于对指定索引、位置或偏移量的不当验证(CWE-1285),导致信息泄露和拒绝服务(DoS)漏洞。 影响 后果: 远程攻击者可以通过发送特殊制作的数据包,读取产品中的信息,导致MELSOFT连接的拒绝服务(DoS)条件,或停止CPU模块的操作(在CPU模块上造成DoS条件),需要重置产品以恢复。 客户应对措施 缓解措施/变通方法: - 使用防火墙或虚拟专用网络(VPN)等,防止未经授权的访问。 - 在需要互联网访问时,使用局域网(LAN)并阻止来自不受信任网络和主机通过防火墙的访问。 - 使用IP过滤功能*2,阻止来自不受信任主机的访问。 - 限制对受影响产品和与其连接的局域网的物理访问。