Bejelentés dátuma: 2025.05.08.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- CC-Link IE TSN Remote I/O modulok: NZ2GN2S1-32D/32T/32TE/32DT/32DTE 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GN2B1-32D/32T/32TE/32DT/32DTE 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GNCF1-32D/32T 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GNCE3-32D/32DT 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GN12A4-16D/16DE 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GN12A2-16T/16TE 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GN12A42-16DT/16DTE 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GN2S1-16D/16T/16TE 09-es és korábbi verziói;
- CC-Link IE TSN Remote I/O modulok: NZ2GN2B1-16D/16T/16TE 09-es és korábbi verziói;
- CC-Link IE TSN Analog-Digital Converter modulok: NZ2GN2S-60AD4 07-es és korábbi verziói;
- CC-Link IE TSN Analog-Digital Converter modulok: NZ2GN2B-60AD4 07-es és korábbi verziói;
- CC-Link IE TSN Digital-Analog Converter modulok: NZ2GN2S-60DA4 07-es és korábbi verziói;
- CC-Link IE TSN Digital-Analog Converter modulok: NZ2GN2B-60DA4 07-es és korábbi verziói;
- CC-Link IE TSN FPGA modulok: NZ2GN2S-D41P01/D41D01/D41PD02 01-es verziója;
- CC-Link IE TSN Remote Station Communication LSI CP620 GbE-PHY-nal NZ2GACP620-300/60 1.08J verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-3511)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-03

Bejelentés dátuma: 2025.05.13.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Service Suite 9.8.1.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Less Trusted Source (CVE-2022-31813)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-28615)/kritikus;
- HTTP Request/Response Smuggling (CVE-2022-36760)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Out-of-bounds Write (CVE-2006-20001)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-29404)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-30556)/súlyos;
- Memory Allocation with Excessive Size Value (CVE-2022-30522)/súlyos;
- HTTP Request/Response Smuggling (CVE-2022-26377)/súlyos;
- Out-of-bounds Read (CVE-2023-31122)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-43622)/súlyos;
- Improper Resource Shutdown or Release (CVE-2023-45802)/közepes;
- HTTP Request/Response Splitting (CVE-2022-37436)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-28614)/közepes;
- Out-of-bounds Read (CVE-2022-28330)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-01

Bejelentés dátuma: 2025.05.13.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relbion 670/650/SAM600-IO sorozatú eszközök 2.2.2.0-nél újabb, de 2.2.2.6-nál korábbi verziói
- Relbion 670/650/SAM600-IO sorozatú eszközök 2.2.3.0-nél újabb, de 2.2.3.7-nál korábbi verziói
- Relbion 670/650/SAM600-IO sorozatú eszközök 2.2.4.0-nél újabb, de 2.2.4.4-nál korábbi verziói
- Relbion 670/650/SAM600-IO sorozatú eszközök 2.2.5.6-nél újabb, de 2.2.5.6-nál korábbi verziói
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.0.x verziói;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1.x verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-4518)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-02

Bejelentés dátuma: 2025.05.13.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH GWS 2.1.0.0 verziója;
- MACH GWS 2.2.0.0-tól 2.4.0.0-ig terjedő verziói;
- MACH GWS 3.0.0.0-tól 3.3.0.0-ig terjedő verziói;
- MACH GWS 3.1.0.0-tól 3.3.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Special Elements in Data Query Logic (CVE-2024-4872)/krtiikus;
- Improper Limitation of a Pathname to a Restricted Directory (CVE-2024-3980)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2024-3982)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-7940)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-03

Bejelentés dátuma: 2025.05.13.
Gyártó: ABB
Érintett rendszer(ek):
- Automation Builder minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2025-3394)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-3395)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-04

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-32122)/alacsony;
- Out-of-bounds Write (CVE-2024-52963)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens INTRALOG WMS minden, v5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
- Uncontrolled Resource Consumption (CVE-2024-20672)/súlyos;
- Uncontrolled Resource Consumption (CVE-2024-30105)/súlyos;
- Use After Free (CVE-2024-35264)/súlyos;
- Link Following (CVE-2024-38081)/súlyos;
- Improper Input Validation (CVE-2024-38095)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2024-43483)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2024-43485)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens BACnet ATEC 550-440 minden verziója;
- Siemens BACnet ATEC 550-441 minden verziója;
- Siemens BACnet ATEC 550-445 minden verziója;
- Siemens BACnet ATEC 550-446 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-40556)/közepes;
Javítás: Nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Desigo CC minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-23815)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- CPC80 Central Processing/Communication minden verziója;
- CPCI85 Central Processing/Communication minden verziója;
- POWER METER SICAM Q100-as termékcsalád minden, V2.70-esnél korábbi verziója;
- POWER METER SICAM Q200-as termékcsalád minden verziója;
- Powerlink IP minden verziója;
- SICAM GridPass minden, V2.50-esnél korábbi verziója;
- SICORE Base system minden verziója;
- SIPROTEC 5 Compact 7SX800 (CP050) minden verziója;
- SIPROTEC 5 7SA82 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SD82 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SJ81 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SJ82 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SK82 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SL82 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7UT82 (CP100) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SA82 (CP150) minden verziója;
- SIPROTEC 5 7SD82 (CP150) minden verziója;
- SIPROTEC 5 7SJ81 (CP150) minden verziója;
- SIPROTEC 5 7SJ82 (CP150) minden verziója;
- SIPROTEC 5 7SK82 (CP150) minden verziója;
- SIPROTEC 5 7SL82 (CP150) minden verziója;
- SIPROTEC 5 7SX82 (CP150) minden verziója;
- SIPROTEC 5 7SY82 (CP150) minden verziója;
- SIPROTEC 5 7UT82 (CP150) minden verziója;
- SIPROTEC 5 6MD84 (CP300) minden verziója;
- SIPROTEC 5 6MD85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 6MD86 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 6MD89 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 6MD89 (CP300) V9.6: Versions prior to V9.68
- SIPROTEC 5 6MU85 (CP300) minden verziója;
- SIPROTEC 5 7KE85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SA86 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SA87 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SD86 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SD87 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SJ85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SJ86 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SK85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SL86 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SL87 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7SS85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7ST85 (CP300) V9.68-nál korábbi verziói;
- SIPROTEC 5 7ST86 (CP300) V9.83-nál korábbi verziói;
- SIPROTEC 5 7SX85 (CP300) minden verziója;
- SIPROTEC 5 7UM85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7UT85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7UT86 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7UT87 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7VE85 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7VK87 (CP300) V7.80-as és korábbi verziói;
- SIPROTEC 5 7VU85 (CP300) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-3596)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Teamcenter Visualization V14.3 V14.3.0.14-nél korábbi verziói;
- Siemens Teamcenter Visualization V2312 V2312.0010-nél korábbi verziói;
- Siemens Teamcenter Visualization V2406 V2406.0008-nál korábbi verziói;
- Siemens Teamcenter Visualization V2412 V2412.0004-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-32454)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC IPC RS-828A minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Spoofing (CVE-2024-54085)/kritikus;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens IEC 1Ph 7.4kW Child socket (8EM1310-2EH04-0GA0) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent socket (8EM1310-2EH04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC 1Ph 7.4kW Parent socket incl. SIM (8EM1310-2EH04-3GA2) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent socket incl. SIM (8EM1310-2EH04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC 1Ph 7.4kW Parent socket/ shutter (8EM1310-2EN04-3GA1) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent socket/ shutter (8EM1310-2EN04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC 1Ph 7.4kW Parent socket/ shutter SIM (8EM1310-2EN04-3GA2) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent socket/ shutter SIM (8EM1310-2EN04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Child cable 7m (8EM1310-3EJ04-0GA0) minden verziója;
- Siemens IEC 3Ph 22kW Child cable 7m (8EM1310-3EJ04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Child socket (8EM1310-3EH04-0GA0) minden verziója;
- Siemens IEC 1Ph 7.4kW Child socket (8EM1310-2EH04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Child socket (8EM1310-3EH04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Child socket/ shutter (8EM1310-3EN04-0GA0) minden verziója;
- Siemens IEC 3Ph 22kW Child socket/ shutter (8EM1310-3EN04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Parent cable 7m (8EM1310-3EJ04-3GA1) minden verziója;
- Siemens IEC 3Ph 22kW Parent cable 7m (8EM1310-3EJ04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Parent cable 7m incl. SIM (8EM1310-3EJ04-3GA2) minden verziója;
- Siemens IEC 3Ph 22kW Parent cable 7m incl. SIM (8EM1310-3EJ04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Parent socket (8EM1310-3EH04-3GA1) minden verziója;
- Siemens IEC 3Ph 22kW Parent socket (8EM1310-3EH04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Parent socket incl. SIM (8EM1310-3EH04-3GA2) minden verziója;
- Siemens IEC 1Ph 7.4kW Child socket/ shutter (8EM1310-2EN04-0GA0) minden verziója;
- Siemens IEC 3Ph 22kW Parent socket incl. SIM (8EM1310-3EH04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Parent socket/ shutter (8EM1310-3EN04-3GA1) minden verziója;
- Siemens IEC 3Ph 22kW Parent socket/ shutter (8EM1310-3EN04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC 3Ph 22kW Parent socket/ shutter SIM (8EM1310-3EN04-3GA2) minden verziója;
- Siemens IEC 3Ph 22kW Parent socket/ shutter SIM (8EM1310-3EN04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Child cable 7m (8EM1310-3FJ04-0GA0) minden verziója;
- Siemens IEC ERK 3Ph 22 kW Child cable 7m (8EM1310-3FJ04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Child cable 7m (8EM1310-3FJ04-0GA1) minden verziója;
- Siemens IEC ERK 3Ph 22 kW Child cable 7m (8EM1310-3FJ04-0GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Child cable 7m (8EM1310-3FJ04-0GA2) minden verziója;
- Siemens IEC 1Ph 7.4kW Child socket/ shutter (8EM1310-2EN04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Child cable 7m (8EM1310-3FJ04-0GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Child socket (8EM1310-3FH04-0GA0) minden verziója;
- Siemens IEC ERK 3Ph 22 kW Child socket (8EM1310-3FH04-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Parent socket (8EM1310-3FH04-3GA1) minden verziója;
- Siemens IEC ERK 3Ph 22 kW Parent socket (8EM1310-3FH04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens IEC ERK 3Ph 22 kW Parent socket incl. SI (8EM1310-3FH04-3GA2) minden verziója;
- Siemens IEC ERK 3Ph 22 kW Parent socket incl. SI (8EM1310-3FH04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Cellular 48A NTEP (8EM1310-5HF14-1GA2) minden verziója;
- Siemens UL Commercial Cellular 48A NTEP (8EM1310-5HF14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Child 40A w/ 15118 HW (8EM1310-4CF14-0GA0) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent cable 7m (8EM1310-2EJ04-3GA1) minden verziója;
- Siemens UL Commercial Child 40A w/ 15118 HW (8EM1310-4CF14-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Child 48A BA Compliant (8EM1315-5CG14-0GA0) minden verziója;
- Siemens UL Commercial Child 48A BA Compliant (8EM1315-5CG14-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Child 48A w/ 15118 HW (8EM1310-5CF14-0GA0) minden verziója;
- Siemens UL Commercial Child 48A w/ 15118 HW (8EM1310-5CF14-0GA0) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 40A with Simcard (8EM1310-4CF14-1GA2) minden verziója;
- Siemens UL Commercial Parent 40A with Simcard (8EM1310-4CF14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A (USPS) (8EM1317-5CG14-1GA2) minden verziója;
- Siemens UL Commercial Parent 48A (USPS) (8EM1317-5CG14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A BA Compliant (8EM1315-5CG14-1GA2) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent cable 7m (8EM1310-2EJ04-3GA1) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A BA Compliant (8EM1315-5CG14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A with Simcard BA (8EM1310-5CF14-1GA2) minden verziója;
- Siemens UL Commercial Parent 48A with Simcard BA (8EM1310-5CF14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A,15118 25ft Sim (8EM1310-5CG14-1GA2) minden verziója;
- Siemens UL Commercial Parent 48A,15118 25ft Sim (8EM1310-5CG14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A, 15118, 25ft (8EM1310-5CG14-1GA1) minden verziója;
- Siemens UL Commercial Parent 48A, 15118, 25ft (8EM1310-5CG14-1GA1) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A, 15118, 25ft (8EM1314-5CG14-2FA2) minden verziója;
- Siemens UL Commercial Parent 48A, 15118, 25ft (8EM1314-5CG14-2FA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Commercial Parent 48A, 15118, 25ft (8EM1315-5HG14-1GA2) minden verziója;
- Siemens IEC 1Ph 7.4kW Parent cable 7m incl. SIM (8EM1310-2EJ04-3GA2) minden verziója;
- Siemens UL Commercial Parent 48A, 15118, 25ft (8EM1315-5HG14-1GA2) minden, V2.135-nél korábbi verziója;
- Siemens UL Resi High End 40A w/15118 Hw (8EM1312-4CF18-0FA3) minden verziója;
- Siemens UL Resi High End 48A w/15118 Hw (8EM1312-5CF18-0FA3) minden verziója;
- Siemens VersiCharge Blue™ 80A AC Cellular (8EM1315-7BG16-1FH2) minden verziója;
- Siemens VersiCharge Blue™ 80A AC Cellular (8EM1315-7BG16-1FH2) minden, V2.135-nél korábbi verziója;
- Siemens IEC 1Ph 7.4kW Parent cable 7m incl. SIM (8EM1310-2EJ04-3GA2) minden, V2.135-nél korábbi verziója;
- Siemens IEC 1Ph 7.4kW Parent socket (8EM1310-2EH04-3GA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Immutable Root of Trust in Hardware (CVE-2025-31929)/közepes;
- Initialization of a Resource with an Insecure Default (CVE-2025-31930)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC PCS neo V4.1 minden verziója;
- Siemens SIMATIC PCS neo V5.0 minden verziója;
- Siemens SINEC NMS minden verziója;
- Siemens SINEMA Remote Connect minden verziója;
- Siemens Totally Integrated Automation Portal (TIA Portal) V17 minden verziója;
- Siemens Totally Integrated Automation Portal (TIA Portal) V18 minden verziója;
- Siemens Totally Integrated Automation Portal (TIA Portal) V19 minden verziója;
- Siemens Totally Integrated Automation Portal (TIA Portal) V20 minden verziója;
- Siemens User Management Component (UMC) minden, V2.15.1.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-30174)/súlyos;
- Out-of-bounds Write (CVE-2025-30175)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- OZW672 V8.0-nál korábbi verziói;
- OZW672 V6.0-nál korábbi verziói;
- OZW772 V8.0-nál korábbi verziói;
- OZW772 V6.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-26389)/kritikus;
- SQL Injection (CVE-2025-26390)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion V2310 minden verziója;
- Polarion V2404 minden, V2404.4-nél korábbi verziója;
- Polarion V2404 minden, V2404.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-51444)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2024-51445)/közepes;
- Cross-site Scripting (CVE-2024-51446)/közepes;
- Observable Response Discrepancy (CVE-2024-51447)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo V4.1 minden, V4.1 Update 3-nál korábbi verziója;
- SIMATIC PCS neo V5.0 minden, V5.0 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficient Session Expiration (CVE-2025-40566)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- SIRIUS 3RK3 Modular Safety System (MSS) minden verziója;
- SIRIUS Safety Relays 3SK2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-24007)/magas;
- Missing Encryption of Sensitive Data (CVE-2025-24008)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-24009)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens APOGEE PXC+TALON TC sorozat minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Expected Behavior Violation (CVE-2025-40555)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Mendix 9 kompatibilis Mendix OIDC SSO minden verziója;
- Siemens Mendix 10 kompatibilis Mendix OIDC SSO minden, V4.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Privilege Assignment (CVE-2025-40571)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens MS/TP Point Pickup Module minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-24510)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX MX5000RE minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, V2.16.5-nél korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, V2.16.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Client-Side Enforcement of Server-Side Security (CVE-2025-32469)/kritikus;
- Client-Side Enforcement of Server-Side Security (CVE-2025-33024)/kritikus;
- Client-Side Enforcement of Server-Side Security (CVE-2025-33025)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden verziója;
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2025-40572)/közepes;
- Path Traversal (CVE-2025-40573)/alacsony;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-40574)/súlyos;
- Use of Uninitialized Variable (CVE-2025-40575)/közepes;
- NULL Pointer Dereference (CVE-2025-40576)/közepes;
- Out-of-bounds Read (CVE-2025-40577)/közepes;
- Out-of-bounds Read (CVE-2025-40578)/közepes;
- Stack-based Buffer Overflow (CVE-2025-40579)/közepes;
- Stack-based Buffer Overflow (CVE-2025-40580)/közepes;
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-40581)/súlyos;
- OS Command Injection (CVE-2025-40582)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2025-40583)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.05.15.
Gyártó: ECOVACS
Érintett rendszer(ek):
- X1S PRO 2.5.38-nál korábbi verziói;
- X1 PRO OMNI 2.5.38-nál korábbi verziói;
- X1 OMNI 2.4.45-nél korábbi verziói;
- X1 TURBO 2.4.45-nél korábbi verziói;
- T10 sorozat 1.11.0-nál korábbi verziói;
- T20 sorozat 1.25.0-nál korábbi verziói;
- T30 sorozat 1.100.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2025-30198)/közepes;
- Download of Code Without Integrity Check (CVE-2025-30199)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2025-30200)/közepes;
Javítás: Részben elérhető, részben 2025.05.31-e után lesz elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-19

Bejelentés dátuma: 2025.05.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- M241/M251 Modicon vezérlők v5.3.12.48-nál korábbi verziói;
- M258/LMC058 Modicon vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2025-2875)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.