Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge V223.0.11-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-49125)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON 7KM PAC3120 AC/DC (7KM3120-0BA01-1DA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
- SENTRON 7KM PAC3120 DC (7KM3120-1BA01-1EA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
- SENTRON 7KM PAC3220 AC/DC (7KM3220-0BA01-1DA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
- SENTRON 7KM PAC3220 DC (7KM3220-1BA01-1EA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-21483)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Fortinet NGFW V7.4.1-es és korábbi verziókat használó RUGGEDCOM APE1808 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2022-39948)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2022-41327)/súlyos;
- Path Traversal (CVE-2022-41328)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-41329)/közepes;
- Cross-site Scripting (CVE-2022-41330)/súlyos;
- Cross-site Scripting (CVE-2022-41334)/súlyos;
- Permissive List of Allowed Inputs (CVE-2022-42469)/közepes;
- Relative Path Traversal (CVE-2022-42474)/közepes;
- Relative Path Traversal (CVE-2022-42476)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-43947)/közepes;
- Use of Externally-Controlled Format String (CVE-2022-43953)/közepes;
- Access of Uninitialized Pointer (CVE-2022-45861)/közepes;
- Out-of-bounds Write (CVE-2023-22639)/közepes;
- Out-of-bounds Write (CVE-2023-22640)/súlyos;
- Open Redirect (CVE-2023-22641)/közepes;
- Improper Input Validation (CVE-2023-25610)/kritikus;
- Insertion of Sensitive Information into Log File (CVE-2023-26207)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-27997)/kritikus;
- Insufficient Session Expiration (CVE-2023-28001)/közepes;
- Improper Validation of Integrity Check Value (CVE-2023-28002)/közepes;
- Improper Certificate Validation (CVE-2023-29175)/közepes;
- Access of Uninitialized Pointer (CVE-2023-29178)/közepes;
- Improper Input Validation (CVE-2023-29179)/közepes;
- Improper Input Validation (CVE-2023-29180)/súlyos;
- Improper Input Validation (CVE-2023-29181)/súlyos;
- Cross-site Scripting (CVE-2023-29183)/súlyos;
- Improper Access Control (CVE-2023-33301)/közepes;
- Infinite Loop (CVE-2023-33305)/közepes;
- NULL Pointer Dereference (CVE-2023-33306)/közepes;
- NULL Pointer Dereference (CVE-2023-33307)/közepes;
- Stack-based Buffer Overflow (CVE-2023-33308)/kritikus;
- Basic XSS (CVE-2023-36555)/alacsony;
- Use of Externally-Controlled Format String (CVE-2023-36639)/súlyos;
- NULL Pointer Dereference (CVE-2023-36641)/közepes;
- Use of GET Request Method With Sensitive Query Strings (CVE-2023-37935)/súlyos;
- Interpretation Conflict (CVE-2023-40718)/súlyos;
- Use After Free (CVE-2023-41675)/közepes;
- Improper Authorization (CVE-2023-41841)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) minden verziója;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) minden verziója;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) minden verziója;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) minden verziója;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) minden verziója;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) minden verziója;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) minden verziója;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) minden verziója;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) minden verziója;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) minden verziója;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) minden verziója;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) minden verziója;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) minden verziója;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) minden verziója;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) minden verziója;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) minden verziója;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) minden verziója;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) minden verziója;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) minden verziója;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) minden verziója;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) minden verziója;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) minden verziója;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) minden verziója;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) minden verziója;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) minden verziója;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) minden verziója;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) minden verziója;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) minden verziója;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) minden verziója;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) minden verziója;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) minden verziója;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) minden verziója;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) minden verziója;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) minden verziója;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) minden verziója;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) minden verziója;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) minden verziója;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) minden verziója;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) minden verziója;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) minden verziója;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) minden verziója;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) minden verziója;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) minden verziója;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) minden verziója;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) minden verziója;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) minden verziója;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) minden verziója;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
Javítás: Jelenleg nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Fortinet NGFW-vel használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-38545)/közepes;
- External Control of File Name or Path (CVE-2023-38546)/alacsony;
- Improper Privilege Management (CVE-2023-44250)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Improper Certificate Validation (CVE-2023-47537)/közepes;
- Out-of-bounds Write (CVE-2024-21762)/kritikus;
- Use of Externally-Controlled Format String (CVE-2024-23113)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Control V2.8-nál újabb, de V3.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2023-45793)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC RF160B (6GT2003-0FA00) minden, V2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-14491)/súlyos;
- Improper Input Validation (CVE-2017-18509)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2020-0338)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2020-0417)/súlyos;
- Expected Behavior Violation (CVE-2020-10768)/közepes;
- Improper Authentication (CVE-2020-11301)/súlyos;
- Out-of-bounds Write (CVE-2020-14305)/súlyos;
- Use After Free (CVE-2020-14381)/súlyos;
- Use After Free (CVE-2020-15436)/közepes;
- Inadequate Encryption Strength (CVE-2020-24587)/alacsony;
- Use of Insufficiently Random Values (CVE-2020-25705)/súlyos;
- Incorrect Authorization (CVE-2020-26555)/közepes;
- Improper Authentication (CVE-2020-26558)/közepes;
- Improper Locking (CVE-2020-29660)/közepes;
- Improper Locking (CVE-2020-29661)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0302)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0305)/súlyos;
- Out-of-bounds Write (CVE-2021-0325)/súlyos;
- Out-of-bounds Write (CVE-2021-0326)/súlyos;
- Improper Privilege Management (CVE-2021-0327)/súlyos;
- Missing Authorization (CVE-2021-0328)/súlyos;
- Out-of-bounds Write (CVE-2021-0329)/súlyos;
- Use After Free (CVE-2021-0330)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0331)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0333)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-0334)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-0336)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2021-0337 )/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-0339)/súlyos;
- Improper Certificate Validation (CVE-2021-0341)/súlyos;
- Missing Authorization (CVE-2021-0390)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0391)/súlyos;
- Double Free (CVE-2021-0392)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0393)/súlyos;
- Out-of-bounds Read (CVE-2021-0394)/közepes;
- Out-of-bounds Write (CVE-2021-0396)/kritikus;
- Double Free (CVE-2021-0397)/kritikus;
- Use After Free (CVE-2021-0399)/súlyos;
- Improper Input Validation (CVE-2021-0400)/közepes;
- Use After Free (CVE-2021-0429)/súlyos;
- Out-of-bounds Read (CVE-2021-0431)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0433)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0434)/súlyos;
- Improper Initialization (CVE-2021-0435)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0436)/közepes;
- Double Free (CVE-2021-0437)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0438)/súlyos;
- Race Condition (CVE-2021-0443)/közepes;
- Missing Encryption of Sensitive Data (CVE-2021-0444)/közepes;
- Integer Overflow or Wraparound (CVE-2021-0471)/közepes;
- Use of Uninitialized Resource (CVE-2021-0473)/súlyos;
- Out-of-bounds Write (CVE-2021-0474)/kritikus;
- Race Condition (CVE-2021-0476)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2021-0478)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0480)/közepes;
- Improper Input Validation (CVE-2021-0481)/súlyos;
- Missing Initialization of Resource (CVE-2021-0484)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0506)/súlyos;
- Out-of-bounds Write (CVE-2021-0507)/súlyos;
- Use After Free (CVE-2021-0508)/súlyos;
- Use After Free (CVE-2021-0509)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0510)/súlyos;
- Improper Input Validation (CVE-2021-0511)/súlyos;
- Out-of-bounds Write (CVE-2021-0512)/súlyos;
- Missing Authorization (CVE-2021-0513)/súlyos;
- Race Condition (CVE-2021-0514)/súlyos;
- Out-of-bounds Write (CVE-2021-0515)/kritikus;
- Use After Free (CVE-2021-0516)/kritikus;
- Out-of-bounds Write (CVE-2021-0519)/súlyos;
- Use After Free (CVE-2021-0520)/súlyos;
- Missing Authorization (CVE-2021-0521)/közepes;
- Use After Free (CVE-2021-0522)/súlyos;
- Out-of-bounds Read (CVE-2021-0584)/közepes;
- Out-of-bounds Write (CVE-2021-0585)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0586)/súlyos;
- Use After Free (CVE-2021-0587)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2021-0588)/közepes;
- Out-of-bounds Write (CVE-2021-0589)/súlyos;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0591)/súlyos;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0593)/súlyos;
- Injection (CVE-2021-0594)/súlyos;
- Out-of-bounds Read (CVE-2021-0596)/súlyos;
- Missing Authorization (CVE-2021-0597)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0598)/súlyos;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0599)/közepes;
- Improper Input Validation (CVE-2021-0600)/súlyos;
- Double Free (CVE-2021-0601)/közepes;
- Missing Encryption of Sensitive Data (CVE-2021-0604)/közepes;
- Out-of-bounds Write (CVE-2021-0640)/súlyos;
- Missing Authorization (CVE-2021-0641)/közepes;
- Missing Authorization (CVE-2021-0642)/közepes;
- Out-of-bounds Read (CVE-2021-0646)/súlyos;
- Out-of-bounds Read (CVE-2021-0650)/közepes;
- Improper Input Validation (CVE-2021-0651)/közepes;
- Race Condition (CVE-2021-0652)/súlyos;
- Missing Authorization (CVE-2021-0653)/közepes;
- Missing Authorization (CVE-2021-0682)/közepes;
- Missing Encryption of Sensitive Data (CVE-2021-0683)/súlyos;
- Use After Free (CVE-2021-0684)/súlyos;
- Excessive Iteration (CVE-2021-0687)/közepes;
- Race Condition (CVE-2021-0688)/súlyos;
- Out-of-bounds Read (CVE-2021-0689)/közepes;
- Out-of-bounds Write (CVE-2021-0690)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-0692)/súlyos;
- Use After Free (CVE-2021-0695)/közepes;
- Improper Preservation of Permissions (CVE-2021-0704)/közepes;
- Missing Authorization (CVE-2021-0706)/közepes;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0708)/súlyos;
- Race Condition (CVE-2021-0870)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0919)/közepes;
- Use After Free (CVE-2021-0920)/közepes;
- Missing Authorization (CVE-2021-0926)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2021-0928)/súlyos;
- Use After Free (CVE-2021-0929)/súlyos;
- Out-of-bounds Write (CVE-2021-0930)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0931)/közepes;
- Improper Encoding or Escaping of Output (CVE-2021-0933)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0952)/közepes;
- Improper Preservation of Permissions (CVE-2021-0953)/súlyos;
- Missing Initialization of Resource (CVE-2021-0961)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0963)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2021-0964)/közepes;
- Missing Authorization (CVE-2021-0965)/súlyos;
- Out-of-bounds Write (CVE-2021-0967 )/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0968)/súlyos;
- Deserialization of Untrusted Data (CVE-2021-0970)/súlyos;
- Classic Buffer Overflow (CVE-2021-1972)/kritikus;
- Use After Free (CVE-2021-1976)/kritikus;
- Missing Initialization of Resource (CVE-2021-29647)/közepes;
- Integer Overflow or Wraparound (CVE-2021-33909)/súlyos;
- Use After Free (CVE-2021-38204)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-39621)/súlyos;
- Out-of-bounds Write (CVE-2021-39623)/kritikus;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-39626)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-39627)/súlyos;
- Use After Free (CVE-2021-39629)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-39633)/közepes;
- Use After Free (CVE-2021-39634)/súlyos;
- Double Free (CVE-2022-20127)/kritikus;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-20130)/kritikus;
- Out-of-bounds Read (CVE-2022-20227)/közepes;
- Out-of-bounds Write (CVE-2022-20229)/kritikus;
- Improper Input Validation (CVE-2022-20355)/közepes;
- Out-of-bounds Write (CVE-2022-20411)/súlyos;
- Use After Free (CVE-2022-20421)/súlyos;
- Race Condition (CVE-2022-20422)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-20423)/közepes;
- Out-of-bounds Write (CVE-2022-20462)/súlyos;
- Initialization of a Resource with an Insecure Default (CVE-2022-20466)/közepes;
- Out-of-bounds Read (CVE-2022-20468)/közepes;
- Out-of-bounds Write (CVE-2022-20469)/súlyos;
- Out-of-bounds Read (CVE-2022-20472)/kritikus;
- Out-of-bounds Read (CVE-2022-20473)/kritikus;
- Infinite Loop (CVE-2022-20476)/közepes;
- Integer Underflow (CVE-2022-20483)/súlyos;
- Out-of-bounds Read (CVE-2022-20498)/közepes;
- Improper Handling of Exceptional Conditions (CVE-2022-20500)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
SINEMA Remote Connect Client minden, V3.1 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2024-22045)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Cerberus PRO EN Engineering Tool minden, IP8-nál korábbi verziója;
- Cerberus PRO EN Engineering Tool minden verziója;
- Cerberus PRO EN Fire Panel FC72x minden, IP8-nál korábbi verziója;
- Cerberus PRO EN Fire Panel FC72x minden, IP8 SR4-nél korábbi verziója;
- Cerberus PRO EN X200 Cloud Distribution minden, V4.0.5016-nál korábbi verziója;
- Cerberus PRO EN X200 Cloud Distribution minden, V4.3.5618-nál korábbi verziója;
- Cerberus PRO EN X300 Cloud Distribution minden, V4.2.5015-nél korábbi verziója;
- Cerberus PRO EN X300 Cloud Distribution minden, V4.3.5617-nél korábbi verziója;
- Sinteso FS20 EN Engineering Tool minden, MP8-nál korábbi verziója;
- Sinteso FS20 EN Engineering Tool minden verziója;
- Sinteso FS20 EN Fire Panel FC20 minden, MP8-nál korábbi verziója;
- Sinteso FS20 EN Fire Panel FC20 minden, MP8 SR4-nél korábbi verziója;
- Sinteso FS20 EN X200 Cloud Distribution minden, V4.0.5016-nál korábbi verziója;
- Sinteso FS20 EN X200 Cloud Distribution minden, V4.3.5618-nál korábbi verziója;
- Sinteso FS20 EN X300 Cloud Distribution minden, V4.2.5015-nél korábbi verziója;
- Sinteso FS20 EN X300 Cloud Distribution minden, V4.3.5617-nél korábbi verziója;
- Sinteso Mobile minden, V3.0.0-nál korábbi verziója;
- Sinteso Mobile minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-22039)/kritikus;
- Out-of-bounds Read (CVE-2024-22040)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-22041)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, V3.2-nél korábbi verziója;
- SINEMA Remote Connect Server minden, V3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2020-23064)/közepes;
- Improper Access Control (CVE-2022-32257)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON 3KC ATC6 Expansion Module Ethernet (3KC9000-8TL75) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hidden Functionality (CVE-2024-22044)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Design - Ecodial NL minden verziója;
- EcoStruxure Power Design - Ecodial INT minden verziója;
- EcoStruxure Power Design - Ecodial FR minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-2229)/súlyos;
Javítás: Nincs
Link a publikációhoz: Schneider Electric, ICS-CERT
Bejelentés dátuma: 2024.03.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy T200 (Modbus) T200I, T200E, T200P, T200S, T200H modelljeinek SC2-04MOD-07000104-es és korábbi verziói;
- Easergy T200 (IEC104) T200I, T200E, T200P, T200S, T200H modelljeinek SC2-04IEC-07000104-es és korábbi verziói;
- Easergy T200 (DNP3) T200I, T200E, T200P, T200S, T200H modelljeinek SC2-04DNP-07000104-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-2051)/kritikus;
- Cross-site Scripting (CVE-2024-2050)/súlyos;
- Files or Directories Accessible to External Parties (CVE-2024-2052)/súlyos;
Javítás: Nincs, az Easergy T200-as elérte életciklusa végét.
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.03.12.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CHARX SEC-3000 1.5.0 és korábbi verziói;
- CHARX SEC-3050 1.5.0 és korábbi verziói;
- CHARX SEC-3100 1.5.0 és korábbi verziói;
- CHARX SEC-3150 1.5.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-25995)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-26288)/súlyos;
- Improper Input Validation (CVE-2024-25999)/súlyos;
- Improper Input Validation (CVE-2024-26002)/súlyos;
- Out-of-bounds Read (CVE-2024-26003)/súlyos;
- Access of Uninitialized Pointer (CVE-2024-26004)/súlyos;
- Improper Input Validation (CVE-2024-26001)/súlyos;
- Improper Input Validation (CVE-2024-25998)/súlyos;
- Improper Input Validation (CVE-2024-26000)/közepes;
- Improper Input Validation (CVE-2024-25994)/közepes;
- Improper Input Validation (CVE-2024-25997)/közepes;
- Origin Validation Error (CVE-2024-25996)/közepes;
- Incomplete Cleanup (CVE-2024-26005)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-011/
Bejelentés dátuma: 2024.03.13.
Gyártó: WAGO
Érintett rendszer(ek):
- Controller BACnet/IP FW13-as és korábbi firmware-verziói;
- Controller BACnet MS/TP FW13-as és korábbi firmware-verziói;
- Ethernet Controller 3rd Generation FW13-as és korábbi firmware-verziói;
- Ethernet Controller 3rd Generation FW13-as és korábbi firmware-verziói;
- Fieldbus Coupler Ethernet 3rd Generation FW13-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2015-10123)/súlyos;
- Cross-site Scripting (CVE-2018-25090)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-039/
Bejelentés dátuma: 2024.03.14.
Gyártó: Softing
Érintett rendszer(ek):
- Softing edgeConnector 3.60-as verziója;
- Softing edgeAggregator 3.60-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2023-38126)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-0860)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-13
Bejelentés dátuma: 2024.03.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-Q sorozat Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU eszközeinek minden verziója;
- MELSEC-Q sorozat Q03/04/06/13/26UDVCPU eszközeinek minden verziója;
- MELSEC-Q sorozat Q04/06/13/26UDPVCPU eszközeinek minden verziója;
- MELSEC-L sorozat L02/06/26CPU(-P), L26CPU-(P)BT eszközeinek minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Pointer Scaling (CVE-2024-0802)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-0803 )/kritikus;
- Incorrect Pointer Scaling (CVE-2024-1915)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-1916)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-1917)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-14
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.